{"id":231875,"date":"2020-05-20T17:51:49","date_gmt":"2020-05-20T15:51:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231875"},"modified":"2020-05-23T00:21:49","modified_gmt":"2020-05-22T22:21:49","slug":"achtung-mal-ransomware-infiziertes-cookie-consent-logo","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/20\/achtung-mal-ransomware-infiziertes-cookie-consent-logo\/","title":{"rendered":"Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo"},"content":{"rendered":"

[English<\/a>]Noch eine kurze Information\/Warnung zum Abend. Angreifer haben wohl ein altes Cookie-Consent-Logo auf Amazon AWS durch ein Malware-Script ersetzt. Wenn meine Interpretation stimmt, geht es um den Osano Cookie Consent Manager, der in vielen Webseiten eingebunden ist. Erg\u00e4nzung:<\/strong> Es ist nicht der Osano Cookie Consent Manager, sondern eine andere L\u00f6sung von SilkTide<\/em>. Es ist davon auszugehen, dass Tausende von Seiten dieses Malware-\/Ransomware-Script durch die Cookie-Consent-Anzeige (oder andere Dateien) ausliefern. M\u00f6glicherweise handelt es sich um einen Ransomware-Angriff.<\/p>\n

<\/p>\n

\"\"Vorab der Hinweis, dass es die Cookie-Consent-Anzeigen meiner Blogs nicht betrifft. Ich verwende ein anderes Plugin, bereite das Ganze aber mal mit meinem bisherigen Kenntnisstand auf.<\/p>\n

Ein Leserhinweis mit einer Warnung<\/h2>\n

Eben erreichte mich eine E-Mail von Blog-Leser Stefan A., dem in der von ihm betreuten Firmenumgebung eine Merkw\u00fcrdigkeit aufgefallen ist. Stefan schrieb:<\/p>\n

Ich bin heute Morgen (in dem Unternehmen f\u00fcr das ich t\u00e4tig bin) darauf gesto\u00dfen, dass innerhalb von einer Stunde 3 User eine Virenwarnung ausgel\u00f6st haben.<\/p>\n

Bei n\u00e4herer Betrachtung fiel auf, dass alle drei besuchten Seiten (z.B. bwl – wissen net \/ schulferien org) Cookie Consent auf ihrer Seite verwenden, welches ein .PNG aus der Amazon Cloud nachladen m\u00f6chte.<\/p>\n

Dieses PNG ist aber tats\u00e4chlich ein JScript (wurde als JS\/Downloader erkannt), welches nach meiner ersten Recherche eine *.exe von der Domain soft2webextrain com nachladen m\u00f6chte.<\/p>\n

Nun ist mir aufgefallen, dass das PNG um 15:42 gegen ein neues ersetzt wurde, welches nun als Ransomware erkannt wird.<\/p>\n

Da hier aktiv das JScript im Laufe des Tages ausgetauscht wurde, gehe ich davon aus, dass hier momentan \u00fcber eine Vielzahl von Seiten die Cookie Consent verwenden Schadcode verteilt wird.<\/p><\/blockquote>\n

An dieser Stelle mein Dank an Stefan f\u00fcr den Hinweis. F\u00fcr mich sieht das Ganze wie eine Aktion aus, \u00fcber die Ransomware breit verteilt werden soll.<\/p>\n

Diese Ans\u00e4tze gab es schon mal<\/h2>\n

Bei meiner schnellen Recherche bin ich darauf gesto\u00dfen, dass die Sicherheitsforscher bereits im August 2018 im Artikel Cookie Consent Script Used to Distribute Malware<\/a> vor einem solchen Angriff gewarnt haben. Dort meldete ein Script dem Benutzer, dass sein Computer infiziert sei und versuchte diesem, falls er darauf hereinfiel, eine Malware unterzuschieben. Auch auf dieser Webseite<\/a> beschreibt ein Sicherheitsteam einen solchen Ansatz.<\/p>\n

Weitere Infos zum SilkTide Cookie-Consent Logo \u2026<\/h2>\n

Stefan schrieb mir, dass seit wenigen Stunden auf GitHub ein Eintrag zum Problem zu finden sei, der die selbe URL benennt und auch das Verteilen von Schadcode erw\u00e4hnt.<\/p>\n

Erg\u00e4nzung:<\/strong> Der GitHub-Eintrag *https:\/\/github.com\/osano\/cookieconsent\/issues\/714 wurde, w\u00e4hrend ich den englischsprachigen Blog-Beitrag geschrieben habe, kommentarlos gel\u00f6scht. Leider habe ich nichts per Screenshot dokumentiert. Eine kurze Probe zeigte mir, dass das infizierte Logo \u00fcber die im Beitrag beschriebene URL nach wie vor ausgeliefert wird.<\/p>\n

Anmerkung:<\/strong> Da es sich um einen Issue-Eintrag f\u00fcr die Osano-L\u00f6sung handelt, ist es korrekt, wenn der Betreiber der GitHub-Seite den Post l\u00f6scht, wenn er nichts mit dem Produkt zu tun hat. Die Erkl\u00e4rung findet sich weiter unten sowie im zweiten Blog-Beitrag.<\/p><\/blockquote>\n

Der GitHub-Eintrag benannte die Osano Cookie Consent-L\u00f6sung<\/a>. Ob es sich um die Open Source-L\u00f6sung oder die Osano Hosted Edition des Osano Consent Manager handelt, konnte ich auf die Schnelle nicht herausfinden. Beide L\u00f6sungen scheinen aber von Osano gehostet zu sein \u2013 wobei die Open Source-Variante jetzt ein jsdelivr.net<\/em>-CDN einbindet. Nachtrag:<\/strong> Inzwischen ist aber klar, dass das Ganze nichts mit Osano zu tun hat, sondern ein Paket von SilkTide betrifft.<\/p>\n

Auf GitHub schriebt ein Nutzer, dass er gerade festgestellt habe, dass auf zwei von seinen Webseiten das Logo f\u00fcr die Cookie Consent-L\u00f6sung auf die alte URL https*:\/\/s3-eu-west-1.amazonaws.com\/assets.cookieconsent.silktide.com\/cookie-consent-logo.png<\/em> verweise. Die .png-Datei mit dem Logo sei mit Malware infiziert und es w\u00fcrden wahrscheinlich Tausenden von Websites, die ihren Code nicht aktualisiert haben, diese Malware verteilen.<\/p>\n

Kurze Erkl\u00e4rung: Wenn ich es richtig verstanden habe, m\u00fcssen Nutzer der Open Source-L\u00f6sung Code in ihre Webseiten kopieren, um denContent Manager einzubinden. Ich vermute nun, dass der Code fr\u00fcher bei Amazon AWS gehostet und \u00fcber deren CDN verteilt wurde. Dann hat man das CDN gewechselt und ein Angreifer konnte die alte Amazon AWS S3 Bucket-Pr\u00e4senz \u00fcbernehmen. Auf GitHub gab es diesen Beitrag<\/a>, wo jemand vor 3 Monaten schrieb, dass er alles von Grund auf neu geschrieben habe und darum bittet, das alles schnell zu verteilen. M\u00f6glicherweise liege ich aber mit meiner Interpretation falsch.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Die Entwickler von Osano haben mich inzwischen per Mail kontaktiert. Deren L\u00f6sung hat niemals die Amazon AWS S3 Buckets zur Auslieferung des Codes verwendet. Ich kenne die Hintergr\u00fcnde inzwischen – betroffen ist eine inzwischen eingestellte Cookie-Consent-L\u00f6sung von SilkTide, wie aus der URL auch hervorgeht. Ein Blog-Beitrag mit Erg\u00e4nzungen wird am Artikelende verlinkt, sobald dieser online ist.<\/p><\/blockquote>\n

Der Autor des inzwischen gel\u00f6schten GitHub-Beitrags schreibt 'Wer noch Zugriff auf diese URL aus dem Amazon CDN habe, solle die .png-Datei schnellstm\u00f6glich l\u00f6schen'. Allerdings ist mir nicht klar, ob die Leute, die die AWS CDN-L\u00f6sung aufgesetzt haben, das \u00fcberhaupt mitbekommen haben und noch Zugriff haben. Wer die Cookie-Consent-L\u00f6sung auf seiner Webseite einsetzt, sollte den Code darauf hin kontrollieren, ob die obige URL oder das AWS CDN verwendet wird. In diesem Fall ist der Code pronto anzupassen.<\/p>\n

Ein kurzer Test meinerseits<\/h2>\n

Ich habe dann einen kurzen Test durchgef\u00fchrt und den Link auf die infizierte Amazon AWS CDN-URL im Browser eingetippt, um mir den Inhalt herunterzuladen.<\/p>\n

\"Download<\/p>\n

Gem\u00e4\u00df obigem Dialogfeld versuche ich eine .png-Datei (suggeriert jedenfalls der Dateiname) aus dem Amazon AWS CDS herunterzuladen und als Datei zu speichern. Die URL des CDN suggeriert, dass Inhalte f\u00fcr Westeuropa ausgeliefert werden.<\/p>\n

\"Alarm<\/p>\n

Das ist aber nicht gelungen, denn die bei mir mitlaufenden Microsoft Security Essentials haben sofort Alarm geschlagen und die erkannte Bedrohung beseitigt.<\/p>\n

\"Ransom:MSIL\/WannaPeace.A\"<\/a><\/p>\n

Im Verlauf wird mir die Ransomware MSIL\/WannaPeace.A als unter Quarant\u00e4ne gestellt angezeigt. Microsoft hat auf dieser Webseite<\/a> einige Kurzinformationen ver\u00f6ffentlicht. Demnach erkennen alle Microsoft Sicherheitsprodukte diese Schadsoftware.<\/p>\n

Erg\u00e4nzung: <\/strong>\u00dcber Lawrence Abrams von Bleeping Computer ist mir noch ein Link auf Virus Total<\/a> geschickt worden. War schon mal im Januar 2020 ein Thema, Portugal stand im Fokus.<\/p><\/blockquote>\n

Erg\u00e4nzende Informationen zur betroffenen Software und weitere Hintergr\u00fcnde gibt es in separaten Artikeln, siehe die nachfolgende Link-Liste.<\/p>\n

Artikelreihe<\/strong>
\nAchtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a>
\nKompromittiertes SilkTide Cookie-Consent Logo<\/a>\u00a0\u2013 Teil 2
\nKompromittiertes SilkTide Cookie-Consent Logo<\/a> \u2013 Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch eine kurze Information\/Warnung zum Abend. Angreifer haben wohl ein altes Cookie-Consent-Logo auf Amazon AWS durch ein Malware-Script ersetzt. Wenn meine Interpretation stimmt, geht es um den Osano Cookie Consent Manager, der in vielen Webseiten eingebunden ist. Erg\u00e4nzung: Es ist … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-231875","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231875"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231875\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}