Browser: Update der Ask.com-Toolbar verteilt Malware

Erneut ist es Hackern gelungen, den Updateprozess der Ask.com-Toolbar zu kompromittieren und ein bösartiges Update einzuspielen. Dabei wurde ein gültiges Zertifikat des Ask Partner Networks verwendet. Bereits im vergangenen Winter hatte es einen ähnlichen Angriff gegeben, Ask.com hatte damals das betroffene Zertifikat ausgetauscht.

Doch das Problem wurde damit offenbar nur kurzfristig gelöst. Der neue, von der Sicherheitsfirma Carbon Black entdeckte Vorfall verwendet erneut ein gültiges Zertifikat. Es gelang den Angreifern also offenbar, auch das ausgetauschte Zertifikat für ihre Zwecke zu nutzen.

Manipulierter Update-Prozess

Die Angreifer manipulierten den Updateprozess und luden statt der Datei Apnmcp.exe die Datei ApnUpdateMgr.exe herunter - einen Remote-Access-Trojaner. Dieser wurde mit dem neuen Zertifikat vom 9. November 2016 signiert und daher von der Toolbar als unproblematisch eingestuft.

Nach der Infektion wurde eine weitere HTTP-Verbindung gestartet und eine Reverse-Shell geöffnet. Über die Shell konnten die Angreifer weitere Aktionen durchführen und installierten mehrere Programme, außerdem enumerierten sie das lokale Netzwerk des Opfers und erlangten dauerhafte Präsenz in dem Netzwerk, auch als Persistenz bezeichnet. Mit einem der nachinstallierten Werkzeuge soll es möglich gewesen sein, Nutzerdaten auszulesen.

Die Ask.com-Toolbar dürfte für die meisten Nutzer unter die Kategorie Potentially Unwanted Applications fallen. Sie wird häufig in Freeware-Installern integriert, für Nutzer ist es meist nicht auf den ersten Blick ersichtlich, ob die Software mitinstalliert wird oder was getan werden muss, um die Installation zu verhindern.