Malsmoke

Malsmoke-Beschreibung

Malsmoke ist der Name, den Infosec-Forscher einer Angriffskampagne und der dafür verantwortlichen Hacker-Gruppe geben. Die Angreifer stellten Infostealer-Malware-Bedrohungen auf den Computern ahnungsloser Benutzer bereit. Die ersten Angriffsketten umfassten Exploit-Kits, die auf Internet Explorer- und Adobe Flash-Schwachstellen abzielen, um den Smoke Loader-Dropper bereitzustellen. Das Verlassen auf Schwachstellen für Software in ihrem End-of-Life-Zyklus bedeutet, dass die potenzielle Zielgruppe sehr begrenzt ist, insbesondere wenn die betreffende Software als veraltet angesehen werden kann.

Daher hat die Malsmoke-Kampagne beschlossen, ihren ursprünglichen Angriffsplan aufzugeben und ihn durch beschädigte Popup-Werbung für gefälschte Java-Updates zu ersetzen. Diese Taktik kann sich auf Google Chrome auswirken, den am häufigsten verwendeten Webbrowser. Die abgelegte Malware-Nutzlast wurde ebenfalls geändert, und Malsmoke liefert jetzt eine Variante von ZLoader. Zunächst wurde ZLoader als Banking-Trojaner eingesetzt, der versuchte, verschiedene Zahlungs- und Kreditkarteninformationen von infizierten Opfern zu sammeln. Die Funktionen der Malware wurden anschließend über mehrere Versionen hinweg erweitert, um die Bedrohung in einen vollwertigen Informationssammler zu verwandeln, der Benutzeranmeldeinformationen und andere private Daten von verschiedenen Finanzinstituten sammeln kann.

Um die Bekanntheit ihrer beschädigten Popup-Werbung zu maximieren, hat der Bedrohungsakteur hinter Malsmoke praktisch alle Werbenetzwerke für Erwachsene missbraucht. Während die Ausrichtung auf Websites für Erwachsene eine gängige Praxis für Cyberkriminelle ist, können die meisten schädlichen Kampagnen nicht an Websites mit geringem Datenverkehr vorbeigehen. Malsmoke hingegen hatte es geschafft, seine beschädigten Anzeigen auf xHamster, einer der größten Websites, nicht nur in der Erotikbranche, im Internet mit rund einer Milliarde monatlichen Besuchern zu platzieren.

Benutzer, die auf Malsmokes Werbung hereinfallen und darauf klicken, werden zu einer speziell gestalteten Täuschungsseite weitergeleitet, die mehrere Bilder für angebliche Videos für Erwachsene enthält. Das Starten eines der angezeigten Videos führt jedoch zu einer Fehlermeldung, dass das Java Plug-in 8.0 fehlt. Um das Video weiter anzusehen, wird der Benutzer aufgefordert, ein gefälschtes Java-Update mit dem Namen JavaPlug-in.msi herunterzuladen. Die Datei enthält die ZLoader-Nutzdaten. Um den Anspruch, dass alles perfekt ist, weiter zu stärken, wird das beschädigte Update als Microsoft-Installationsprogramm digital signiert.

Die auf Websites für Erwachsene angezeigten Anzeigen sind bekanntermaßen riskant. Benutzer sollten äußerst vorsichtig sein, wenn sie auf einen klicken.