Browser: Update der Ask.com-Toolbar verteilt Malware

Die meisten Nutzer dürften sich ohnehin nur fragen, wie sie die Ask.com-Toolbar im Browser am schnellsten wieder loswerden. Doch es gibt ein weiteres Problem: Der Update-Prozess des Programms ist notorisch für Sicherheitslücken anfällig.

Artikel veröffentlicht am ,
Die bei vielen Nutzern unbeliebte Ask.com-Toolbar hat Malware verteilt.
Die bei vielen Nutzern unbeliebte Ask.com-Toolbar hat Malware verteilt. (Bild: Carbon Black/Ask.com)

Erneut ist es Hackern gelungen, den Updateprozess der Ask.com-Toolbar zu kompromittieren und ein bösartiges Update einzuspielen. Dabei wurde ein gültiges Zertifikat des Ask Partner Networks verwendet. Bereits im vergangenen Winter hatte es einen ähnlichen Angriff gegeben, Ask.com hatte damals das betroffene Zertifikat ausgetauscht.

Stellenmarkt
  1. Analyst / Spezialist mit dem Schwerpunkt Business Analytics / Intelligence (BI) (m/w/d)
    LYRECO Deutschland GmbH, Bantorf-Barsinghausen
  2. System Engineer (m/w/d) Citrix ADC / NetScaler
    DATAGROUP Köln GmbH, Köln (Home-Office)
Detailsuche

Doch das Problem wurde damit offenbar nur kurzfristig gelöst. Der neue, von der Sicherheitsfirma Carbon Black entdeckte Vorfall verwendet erneut ein gültiges Zertifikat. Es gelang den Angreifern also offenbar, auch das ausgetauschte Zertifikat für ihre Zwecke zu nutzen.

Manipulierter Update-Prozess

Die Angreifer manipulierten den Updateprozess und luden statt der Datei Apnmcp.exe die Datei ApnUpdateMgr.exe herunter - einen Remote-Access-Trojaner. Dieser wurde mit dem neuen Zertifikat vom 9. November 2016 signiert und daher von der Toolbar als unproblematisch eingestuft.

Nach der Infektion wurde eine weitere HTTP-Verbindung gestartet und eine Reverse-Shell geöffnet. Über die Shell konnten die Angreifer weitere Aktionen durchführen und installierten mehrere Programme, außerdem enumerierten sie das lokale Netzwerk des Opfers und erlangten dauerhafte Präsenz in dem Netzwerk, auch als Persistenz bezeichnet. Mit einem der nachinstallierten Werkzeuge soll es möglich gewesen sein, Nutzerdaten auszulesen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Die Ask.com-Toolbar dürfte für die meisten Nutzer unter die Kategorie Potentially Unwanted Applications fallen. Sie wird häufig in Freeware-Installern integriert, für Nutzer ist es meist nicht auf den ersten Blick ersichtlich, ob die Software mitinstalliert wird oder was getan werden muss, um die Installation zu verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Datenschutz
Ask.com zeigt auf Apache-Statusseite Suchanfragen an
artikel-bild
Incident Response
Social Engineering funktioniert als Angriffsvektor weiterhin
artikel-bild
Sicherheitsaudit
US-Heimatschutzministerium nutzt altes Flash und Windows
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
artikel-bild
Huawei
Erste P10-Nutzer bekommen Oreo-Upgrade
Meistgelesen
artikel-bild
Truth Social
Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
artikel-bild
Infiltration bei Apple TV+
Die Außerirdischen sind da!
artikel-bild
M1 Pro/Max
Dieses Apple Silicon ist gigantisch
artikel-bild
Krypto
NRW versteigert beschlagnahmte Bitcoin
artikel-bild
Stella Vita
Solarflügel-Camper tourt 2.000 km ohne Steckdose
Kommentarübersicht
Re: Ask-Toolbar IST die Malware... (kwt)
My1 21. Mär 2017

dann wars vlt die von yahoo, das letzte mal wo ich java installt hab is ne ganze weile her.

Enumerieren? Dauerhafte Präsenz?
KOTRET 21. Mär 2017

@golem: ??? Wie wird denn die "dauerhafte Präsenz" im Netzwerk erlangt? Und was soll das...

Re: für was sind die eigentlich "gut"?
Apfelbrot 20. Mär 2017

Da ging es doch nie um nutzen für den User. Sondern Suchanfragen auf die eigene Seite...

Aufdringliche Werbung nachträglich per Update
mahennemaha 20. Mär 2017

Aufdringliche Werbung nachträglich per Update ist nervig. Egal ob der Hersteller es...

Re: Wieso sind die denn noch online?
deadeye 20. Mär 2017

Weil es ein Krebsgeschwür ist.

Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /