Aktuell noch eine dringende Sicherheitswarnung an Facebook-Nutzer die auch deren Messenger verwenden. Aktuell wird Malware über den Facebook-Messenger verteilt, die sowohl auf macOS als auch auf Windows zielt.
Anzeige
Kaspersky entdeckt den Angriff, Details noch unbekannt
Auf Securelist warnt Sicherheitsspezialist David Jacoby von den Kaspersky Labs vor einer neuen Bedrohung durch Malware, die per Facebook-Messenger verteilt wird. Jacobs erhielt kürzlich von einer Person, mit er er kaum Kontakt hatte, eine Nachricht auf Facebook.
Es war ein Link in der Nachricht, den er anklicken sollte. Jacobi war daraufhin alarmiert und hat die Nachricht untersucht. Bereits nach wenigen Minuten war klar, dass dies ein Angriffsversuch war.
Die Nachricht verwendet einen traditionellen Social Engineering-Ansatz, um den Nutzer zu übertölpeln. Die Nachricht "David Video" mit dem bit.ly-Link zeigt auf ein Google doc-Dokument. Im Dokument ist ein Bild von der Facebook-Seite des Opfers enthalten. Zudem gibt es einen Landing-Seite, die ausschaut, als ob dort ein Video abgespielt werden könnte.
Anzeige
Klickt das Opfer nun auf den vermeintlichen Video-Player beginnt ein dynamisch gestalteter Angriff. Der hinter dem vermeintlichen Player liegende, angeklickte Link leitet auf einen Vielzahl von Webseiten weiter. Diese werden von den Angreifern kontrolliert und sollen eine Analyse des Opfersystems ermöglichen. Weiteres Ziel ist es, ein Tracking des Angriffs zu erschweren. So nebenbei generieren die Umleitungen noch Einnahmen durch Klicks für die Kriminellen. Irgendwo gibt es ein verschlüssseltes (obfuscated) Script, welches Schadcode injizieren soll. Jacoby hat das JavaScript in der Datei injection.js in folgendem Auszug dokumentiert.
Der genaue Mechanismus, wie die Links verteilt werden, ist noch nicht genau klar. Jacobs schreibt, dass er nur die Spitze eines Eisbergs gesehen habe und das Ganze weiter analysiert.
Die Angriffsmasche
Die Masche ist aber klar: Die Angreifer kontaktieren ihre potentiellen Opfer und schicken einen Link per Facebook-Messenger. In der Nachricht versuchen sie die Opfer zum Anklicken des Links zu bewegen. Der Link leitet das Opfer dann auf diverse Webseiten, die das System (Browser, Betriebssystem etc.) inspizieren. Einmal kann dabei Werbung angezeigt werden, um den Angreifern Einnahmen zu verschaffen. Fernziel ist es aber wohl, Schadsoftware, abhängig vom Betriebssystem, für macOS oder Windows auf die Systeme der Opfer zu schleusen. Die Malware ist dabei als Video-Player oder als Update für Adobe Flash getarnt.
Bei Bleeping-Computer schreibt man, dass die Links zu Adware oder schädlichen Chrome-Erweiterungen führen. Spiegel Online gibt hier einige Hinweise und verweist auf diese Webseite, wo Browser-Hijacker, die über die Masche verbreitet werden, entfernt werden können. Persönlich bin ich bei solchen Anleitungen immer sehr vorsichtig, da nie klar ist, ob das System nicht auch anderweitig kompromittiert wurde.
Ähnliche Artikel:
Sicherheit: Update auf Thunderbird 52.3.0 und mehr
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
Drittanbieter 0Patch für FoxIt-Sicherheitslücke
eco Verband fordert eingebaute Softwaresicherheit
Medizingeräte: (Sicherheits-)Risiko Windows 7?
Zwei kritische Sicherheitslücken im Foxit PDF Reader
Sicherheitslücke in alten Chrome-Versionen bleibt ungepatcht
Ropemaker-Exploit kann zugestellte E-Mails manipulieren
Anzeige
…kommts mir eigentlich nur so vor, oder wirds derzeit immer schlimmer mit Malware und Co? Wir Patchen alle möglichen Geräte und Software so viel und schnell wie noch nie und erleben irgendwie doch nur noch Ausfälle durch Updates und Malware und Co die immer erfolgreicher reinhaut, wenn sie denn mal greift.