Malware: Pornhub verteilte monatelang Fake-Browserupdates

Die Webseite Pornhub hat in den vergangenen Monaten bösartige Werbeanzeigen verteilt, die Nutzer zu einem Browserupdate aufforderten. Wer der Aufforderung nachkam, installierte sich weitere Adfraud-Malware. Deutsche Nutzer waren wohl nicht betroffen.

Artikel veröffentlicht am ,
Pornhub lieferte bösartige Werbeanzeigen aus.
Pornhub lieferte bösartige Werbeanzeigen aus. (Bild: Proofpoint)

Eine Malvertising-Kampagne verteilte über mehrere Monate hinweg bösartige Werbeanzeigen auf der Pornoseite Pornhub. Pornhub steht derzeit auf Rang 38 der weltweit meistbesuchten Webseiten nach dem Alexa-Ranking. Die Werbung rief Nutzer dazu auf, ein angebliches Browserupdate zu installieren und trat nach Angaben der Sicherheitsfirma Proofpoint sowohl unter Firefox, Chrome als auch unter Microsoft Edge und Internet Explorer auf.

Stellenmarkt
  1. Experte (w/m/d) Corporate Governance & Compliance
    AIXTRON SE, Herzogenrath
  2. Fachinformatiker als Mitarbeiter IT User Helpdesk (m/w/d)
    Salo Holding AG, Hamburg
Detailsuche

Proofpoint schreibt die Angriffe der Gruppe Kovcoreg zu. Die Gruppe soll das Traffic Junky-Werbenetzwerk mit den Anzeigen infiltriert haben. Nach einem Hinweis auf die Malware hätten sowohl das Werbenetzwerk als auch Pornhub umgehend gehandelt, um die Gefahr zu beseitigen.

  • Die gefälschten Browserupdates gab es für Firefox ... (Bild: Proofpoint)
  • Chrome ... (Bild: Proofpoint)
  • und Internet Explorer / Edge. (Bild: Proofpoint)
Die gefälschten Browserupdates gab es für Firefox ... (Bild: Proofpoint)

Per GeoIP wurde angeblich entschieden, ob Nutzer die Anzeige sehen oder nicht. Betroffen waren Anwender in den USA, Kanada, dem Vereinigten Königreich und Australien. Die Anzeigen dürften erfahrene Nutzer kaum überzeugen, verwenden sie doch eine URL die nicht zum jeweiligen Anbieter passt. Auch die Auslieferung eines Browser-Updates als .js-Datei dürfte viele Nutzer nicht überzeugen.

Angreifer benutzen alte Crypto

Wird die heruntergeladene .js-Datei vom Anwender geöffnet, werden weitere Komponenten nachgeladen, die den eigentlichen Schadcode enthalten. Nach Angaben von Proofpoint handelt es sich dabei um jeweils eine flv- und eine mp4-Datei. Die flv-Datei enthält dabei nur eine ID, vermutlich der Kampagne, und einen RC4-Schlüssel. In der mp4-Datei sind mit dem RC4-Schlüssel weitere verschlüsselte Anweisungen enthalten.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    18./19.07.2022, virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    01.-05.08.2022, Virtuell
Weitere IT-Trainings

Dabei handelt es sich um ein Powershell-Skript, das eine Avi-Datei mit dem Payload der Kovter-Malware herunterlädt. Die Malware liefert dann weitere gefälschte Werbeanzeigen aus, um die Kampagne zu monetarisieren. Grundsätzlich könnte auf diesem Weg aber auch andere Malware wie Ransomware verteilt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
US-Streaming
Abonnenten immer unzufriedener mit Netflix

Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

US-Streaming: Abonnenten immer unzufriedener mit Netflix
Artikel
  1. Machine Learning: Die eigene Stimme als TTS-Modell
    Machine Learning
    Die eigene Stimme als TTS-Modell

    Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
    Eine Anleitung von Thorsten Müller

  2. Elektro-SUV: Drako Dragon soll Teslas Model X Plaid deutlich übertreffen
    Elektro-SUV
    Drako Dragon soll Teslas Model X Plaid deutlich übertreffen

    Das Elektroauto Drako Dragon soll mit seinen vier Motoren eine Leistung von 1.470 kW entwickeln und 320 km/h Spitze fahren.

  3. Discovery+: Neues Streamingabo in Deutschland verfügbar
    Discovery+
    Neues Streamingabo in Deutschland verfügbar

    Während etwa Netflix oder Disney werbefinanzierte Varianten ihrer Abos planen, startet Discovery+ gleich mit einem solchen Dienst.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 Ti Ventus 3X 12G OC 1.049€ • Alternate (u. a. Corsair Vengeance LPX 32 GB DDR4-3600 106,89€) • be quiet! Pure Rock 2 26,99€ • SanDisk microSDXC 400 GB 29€ • The Quarry + PS5-Controller 99,99€ • Samsung Galaxy Watch 3 119€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /