Seit kurzen läuft wohl eine Spam-Kampagne mit dem Ziel, ein angebliches Silverlight-Update zu verteilen und Windows-Nutzer zur Installation zu bewegen. Das angebliche Update enthält aber einen Keylogger.
Anzeige
Silverlight ist die von Microsoft entwickelte Technik, um Rich Media-Inhalte (ähnlich wie Flash) im Browser wiederzugeben. Silverlight wird aber über kurz oder lang in der Versenkung verschwinden (siehe meinen Beitrag Silverlight am Ende? Edge unterstützt es nicht! Ich selbst habe kein Silverlight installiert und vor längerer Zeit den Blog-Beitrag Silverlight deinstallieren veröffentlicht. Häufig ärgere ich mich, wenn in Windows Update diverser Windows 7-Maschinen mal wieder ein optionaler Silverlight-Patch auftaucht, der dann auszublenden ist.
Gauner nutzen Silverlight-Update als Einfallstor
Silverlight wird auch von Cyberkriminellen ausgenutzt. Die Sicherheitsspezialisten von Proofpoint haben kürzlich eine Malware-Kampagne entdeckt, die ein gefälschtes Silverlight-Update mit integriertem Keylogger installiert.
- Die Spam-Mails wurden gezielt an Nutzer in bestimmten Organisationen versandt. Offenbar war man an Informationen aus diesem Benutzerkreis interessiert.
- Im Anhang war ein Word-Dokument mit einem eingebetteten Objekt (dieses war verschlüsselt – obfuscated -, so dass weder Makro-Warnungen noch Virenscanner anschlugen).
- Das eingebettete Objekt konnte angeblich im Word-Anhang nicht angezeigt werden, weil Silverlight fehlte/nicht aktuell war. Üblicherweise wird auf Webseiten dann die Silverlight-Installation angeboten.
- Wurde das vorgebliche Silverlight-Update zur Anzeige der Inhalte installiert (der Link zeigte natürlich nicht auf Microsoft-Server), kam ein Keylogger auf das System, welcher anschließen Daten zu zwei GMail-Adressen verschickt.
Details sind im Proofpoint-Artikel nachzulesen. Dort wird auch gezeigt, wie man mit einem Rechtsklick und über das Kontextmenü den Angriff enttarnen kann. Aber das ist kein Ansatz für unbedarfte Benutzer. Vielleicht trotzdem eine Warnung an die Anwender in der Firma herausgeben, auch wenn der Angriffsvektor nicht neu ist. Ein deutschsprachiger Blog-Beitrag findet sich bei botfrei.de.
Anzeige
Anzeige