Aktuelles, Branche - geschrieben von am Donnerstag, Juli 9, 2020 18:05 - noch keine Kommentare

kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen

Malvertising – laut kaspersky leiten über 1.000 zum Verkauf stehende URLs ahnungslose Besucher zuweilen auf schädliche Webseiten

[datensicherheit.de, 09.07.2020] Nach eigenen Angaben haben kaspersky-Experten über tausend inaktive Domains identifiziert, welche Anwender auf unerwünschte URLs weiterleiten, womit Cyber-Kriminelle Profit erzielen könnten. Viele dieser „Second-Stage-Seiten“ enthielten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden demnach auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.

Kaspersky-Experten erforschen neue cyber-kriminelle Vorgehensweise

Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese laut kaspersky manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, würden dann auf Auktions-Webseiten weitergeleitet, „auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht“. Cyber-Kriminelle könnten dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschten.
Bei der Untersuchung eines Assistant-Tools, das zu einem populären Online-Spiel gehöre, habe die Anwendung versucht, die kaspersky-Experten auf eine unerwünschte URL zu leiten, welche auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten worden sei. Die Experten seien allerdings nicht auf die reguläre Auktions-Seite weitergeleitet worden, sondern über einen zweistufigen Redirect auf eine auf der Sperrliste stehende Webseite.

Shlayer – laut kaspersky weitverbreiteter macOS-Trojaner

Bei der weiteren Analyse hätten rund 1.000 Webseiten identifiziert werden können, welche auf dem Marktplatz zum Verkauf gestanden hätten und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt worden seien. Bei vielen sei daraufhin der Trojaner „Shlayer“ heruntergeladen worden. Dabei handelt es sich laut kaspersky um eine weitverbreitete macOS-Malware, welche auf den infizierten Geräten Adware installiere und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet werde.
Zwischen März 2019 und Februar 2020 habe der Großteil (89 Prozent) dieser „Second-Stage-Redirects“ auf Werbe-Seiten geführt. Bei den restlichen elf Prozent der Weiterleitungen hätten die Seiten selbst schädlichen Code enthalten oder die Nutzer aufgefordert, infizierte „MS-Office“- und PDF-Dateien herunterzuladen.

kaspersky identifiziert neue, lukrative Malvertising-Methode

Hinter dieser neuen Methode stecke ein „profitables Geschäftsmodell“. Denn die Cyber-Kriminellen erhielten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten oder schädliche Websites sind. Man spreche hierbeo von „Malvertising“. Bei einer dieser schädlichen Seiten seien beispielsweise 600 solcher Redirects in zehn Tagen registriert worden.
kaspersky geht davon aus, „dass die Cyber-Kriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben“. Im Fall des Trojaners „Shlayer“ dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein. Es sei „wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt“.

Kaspersky warnt: Nutzer kann fast nichts tun, um Redirect auf schädliche Seiten zu entgehen

„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, so Dmitry Kondratyev, „Junior Malware Analyst“ bei kaspersky. Domains, die solche Redirects auslösen, seien früher legitime Ressourcen gewesen, welchen von den Anwendern unter Umständen recht häufig aufgesucht worden seien. Kondratyev betont: „Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht.“
Hinzu kommt laut Kondratyev, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von „Shlayer“ nach sich ziehen könnte. Diese Art von Malvertising sei im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie sei daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.

kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites:

  • Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
  • Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
  • Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Security Cloud“) verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.

Weitere informationen zum Thema:

kaspersky SECURELIST, Dmitry Kondratyev, 08.07.2020
Research / Redirect auction

kaspersky, 23.01.2020
Tausende von Websites verbreiten macOS-Malware / Deutschland mit 14 Prozent international am zweithäufigsten von der Trojaner-Familie Shlayer betroffen

datensicherheit.de, 28.05.2020
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert



Kommentieren

Kommentar

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung