Malvertising: US-Nutzer mit Angler-Exploit-Kit und Ransomware infiziert

Eine aktuelle Malvertising-Kampagne infiziert seit Ende vergangener Woche Nutzer von US-Medien mit dem Angler-Exploit-Kit. Nach Angaben der Sicherheitsfirmen Trustwave und Trend Micro sollen davon unter anderem zahlreiche große Nachrichtenwebseiten wie die New York Times, MSN und AOL betroffen sein. Die großen Seiten hätten die Malware mittlerweile entfernt, heißt es in den Blogposts, kleinere Angebote könnten aber nach wie vor betroffen sein.

Nach Angaben von Trustwave waren die Werbevermarkter Adnxs und Taggify betroffen. Adxns habe nach der Information innerhalb einer Stunde reagiert und die Malware entfernt, schreiben die Forscher. Taggify hingegen habe bei Abfassung des Blogposts noch nicht reagiert.

Malware wird über Iframe verteilt

Die Malware wird über eine präparierte JSON-Datei ausgeliefert, die rund 12.000 Zeichen stark obfuskierten Javascript-Code enthalten soll. Offenbar wird vorab geprüft, ob die Nutzer bestimmte Antivirenprodukte benutzen, um keine unnötig Aufmerksamkeit zu erregen. Wird eines der Produkte entdeckt, sieht die Malware von einer Infektion ab. Die Datei wird auf der Seite bentsmedia.com gehostet und fügt ein Iframe in die angezeigte Webseite ein, das dann wiederum das Angler-Exploit-Kit nachlädt. Offenbar nutzen die Kriminellen gezielt abgelaufene Domains, die den Begriff "Media" enthalten, um ihre Malware dort zu hosten, wie Trustwave schreibt.

Das Angler-Exploit-Kit liefert nach Angaben der Sicherheitsforscher die Malware Bedep aus, außerdem eine Variante der Teslacrypt Ransomware. Angler hat in der Vergangenheit vor allem Lücken in unsicheren Add-ons wie Flash, Java oder Silverlight ausgenutzt. Der beste Schutz ist daher die Deinstallation dieser Software.