{"id":193413,"date":"2017-08-25T09:58:46","date_gmt":"2017-08-25T07:58:46","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193413"},"modified":"2024-01-14T17:46:42","modified_gmt":"2024-01-14T16:46:42","slug":"facebook-messenger-erneut-als-malware-schleuder","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/25\/facebook-messenger-erneut-als-malware-schleuder\/","title":{"rendered":"Facebook-Messenger erneut als Malware-Schleuder"},"content":{"rendered":"

Aktuell noch eine dringende Sicherheitswarnung an Facebook-Nutzer die auch deren Messenger verwenden. Aktuell wird Malware \u00fcber den Facebook-Messenger verteilt, die sowohl auf macOS als auch auf Windows zielt. <\/p>\n

<\/p>\n

Kaspersky entdeckt den Angriff, Details noch unbekannt<\/h2>\n

\"\"Auf Securelist warnt<\/a> Sicherheitsspezialist David Jacoby von den Kaspersky Labs vor einer neuen Bedrohung durch Malware, die per Facebook-Messenger verteilt wird. Jacobs erhielt k\u00fcrzlich von einer Person, mit er er kaum Kontakt hatte, eine Nachricht auf Facebook. <\/p>\n

\"Facebook-Nachricht\"<\/a>(Quelle: Kaspersky)<\/p>\n

Es war ein Link in der Nachricht, den er anklicken sollte. Jacobi war daraufhin alarmiert und hat die Nachricht untersucht. Bereits nach wenigen Minuten war klar, dass dies ein Angriffsversuch war. <\/p>\n

Die Nachricht verwendet einen traditionellen Social Engineering-Ansatz, um den Nutzer zu \u00fcbert\u00f6lpeln. Die Nachricht \"David Video\" mit dem bit.ly-Link zeigt auf ein Google doc-Dokument. Im Dokument ist ein Bild von der Facebook-Seite des Opfers enthalten. Zudem gibt es einen Landing-Seite, die ausschaut, als ob dort ein Video abgespielt werden k\u00f6nnte. <\/p>\n

  <\/p>\n

\"Google<\/a>
(Quelle: Kaspersky)<\/p>\n

Klickt das Opfer nun auf den vermeintlichen Video-Player beginnt ein dynamisch gestalteter Angriff. Der hinter dem vermeintlichen Player liegende, angeklickte Link leitet auf einen Vielzahl von Webseiten weiter. Diese werden von den Angreifern kontrolliert und sollen eine Analyse des Opfersystems erm\u00f6glichen. Weiteres Ziel ist es, ein Tracking des Angriffs zu erschweren. So nebenbei generieren die Umleitungen noch Einnahmen durch Klicks f\u00fcr die Kriminellen. Irgendwo gibt es ein verschl\u00fcssseltes (obfuscated) Script, welches Schadcode injizieren soll. Jacoby hat das JavaScript in der Datei injection.js<\/em> in folgendem Auszug dokumentiert. <\/p>\n

\"JavaScript-Injector\"<\/a>
(Quelle: Kaspersky) <\/p>\n

Der genaue Mechanismus, wie die Links verteilt werden, ist noch nicht genau klar. Jacobs schreibt, dass er nur die Spitze eines Eisbergs gesehen habe und das Ganze weiter analysiert. <\/p>\n

Die Angriffsmasche<\/h2>\n<\/p>\n

Die Masche ist aber klar: Die Angreifer kontaktieren ihre potentiellen Opfer und schicken einen Link per Facebook-Messenger. In der Nachricht versuchen sie die Opfer zum Anklicken des Links zu bewegen. Der Link leitet das Opfer dann auf diverse Webseiten, die das System (Browser, Betriebssystem etc.) inspizieren. Einmal kann dabei Werbung angezeigt werden, um den Angreifern Einnahmen zu verschaffen. Fernziel ist es aber wohl, Schadsoftware, abh\u00e4ngig vom Betriebssystem, f\u00fcr macOS oder Windows auf die Systeme der Opfer zu schleusen. Die Malware ist dabei als Video-Player oder als Update f\u00fcr Adobe Flash getarnt.<\/p>\n

Bei Bleeping-Computer schreibt man<\/a>, dass die Links zu Adware oder sch\u00e4dlichen Chrome-Erweiterungen f\u00fchren. Spiegel Online gibt hier<\/a> einige Hinweise und verweist auf diese Webseite<\/a>, wo Browser-Hijacker, die \u00fcber die Masche verbreitet werden, entfernt werden k\u00f6nnen. Pers\u00f6nlich bin ich bei solchen Anleitungen immer sehr vorsichtig, da nie klar ist, ob das System nicht auch anderweitig kompromittiert wurde.<\/p>\n

\u00c4hnliche Artikel:
<\/strong>Sicherheit: Update auf Thunderbird 52.3.0 und mehr
Sicherheitsl\u00fccke in HPE Integrated Lights-out 4 (iLO 4)<\/a>
Drittanbieter 0Patch f\u00fcr FoxIt-Sicherheitsl\u00fccke<\/a>
eco Verband fordert eingebaute Softwaresicherheit<\/a>
Medizinger\u00e4te: (Sicherheits-)Risiko Windows 7?<\/a>
Zwei kritische Sicherheitsl\u00fccken im Foxit PDF Reader<\/a>
Sicherheitsl\u00fccke in alten Chrome-Versionen bleibt ungepatcht<\/a> <\/p>\n

Ropemaker-Exploit kann zugestellte E-Mails manipulieren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell noch eine dringende Sicherheitswarnung an Facebook-Nutzer die auch deren Messenger verwenden. Aktuell wird Malware \u00fcber den Facebook-Messenger verteilt, die sowohl auf macOS als auch auf Windows zielt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5070,426],"tags":[1199,1018,5071,4328],"class_list":["post-193413","post","type-post","status-publish","format-standard","hentry","category-facebook","category-sicherheit","tag-facebook","tag-malware","tag-messenger","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193413"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193413\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}