Malware: Pornhub verteilte monatelang Fake-Browserupdates

Die Webseite Pornhub hat in den vergangenen Monaten bösartige Werbeanzeigen verteilt, die Nutzer zu einem Browserupdate aufforderten. Wer der Aufforderung nachkam, installierte sich weitere Adfraud-Malware. Deutsche Nutzer waren wohl nicht betroffen.

Artikel veröffentlicht am ,
Pornhub lieferte bösartige Werbeanzeigen aus.
Pornhub lieferte bösartige Werbeanzeigen aus. (Bild: Proofpoint)

Eine Malvertising-Kampagne verteilte über mehrere Monate hinweg bösartige Werbeanzeigen auf der Pornoseite Pornhub. Pornhub steht derzeit auf Rang 38 der weltweit meistbesuchten Webseiten nach dem Alexa-Ranking. Die Werbung rief Nutzer dazu auf, ein angebliches Browserupdate zu installieren und trat nach Angaben der Sicherheitsfirma Proofpoint sowohl unter Firefox, Chrome als auch unter Microsoft Edge und Internet Explorer auf.

Stellenmarkt
  1. Produktmanager Machine Vision Software (m/w/d)
    STEMMER IMAGING AG, Puchheim bei München
  2. Abteilungsleiter (m/w/d) IT/IT-Entwicklung
    BayernInvest Kapitalverwaltungsgesellschaft mbH, München
Detailsuche

Proofpoint schreibt die Angriffe der Gruppe Kovcoreg zu. Die Gruppe soll das Traffic Junky-Werbenetzwerk mit den Anzeigen infiltriert haben. Nach einem Hinweis auf die Malware hätten sowohl das Werbenetzwerk als auch Pornhub umgehend gehandelt, um die Gefahr zu beseitigen.

  • Die gefälschten Browserupdates gab es für Firefox ... (Bild: Proofpoint)
  • Chrome ... (Bild: Proofpoint)
  • und Internet Explorer / Edge. (Bild: Proofpoint)
Die gefälschten Browserupdates gab es für Firefox ... (Bild: Proofpoint)

Per GeoIP wurde angeblich entschieden, ob Nutzer die Anzeige sehen oder nicht. Betroffen waren Anwender in den USA, Kanada, dem Vereinigten Königreich und Australien. Die Anzeigen dürften erfahrene Nutzer kaum überzeugen, verwenden sie doch eine URL die nicht zum jeweiligen Anbieter passt. Auch die Auslieferung eines Browser-Updates als .js-Datei dürfte viele Nutzer nicht überzeugen.

Angreifer benutzen alte Crypto

Wird die heruntergeladene .js-Datei vom Anwender geöffnet, werden weitere Komponenten nachgeladen, die den eigentlichen Schadcode enthalten. Nach Angaben von Proofpoint handelt es sich dabei um jeweils eine flv- und eine mp4-Datei. Die flv-Datei enthält dabei nur eine ID, vermutlich der Kampagne, und einen RC4-Schlüssel. In der mp4-Datei sind mit dem RC4-Schlüssel weitere verschlüsselte Anweisungen enthalten.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Dabei handelt es sich um ein Powershell-Skript, das eine Avi-Datei mit dem Payload der Kovter-Malware herunterlädt. Die Malware liefert dann weitere gefälschte Werbeanzeigen aus, um die Kampagne zu monetarisieren. Grundsätzlich könnte auf diesem Weg aber auch andere Malware wie Ransomware verteilt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Paypal, Impfausweis, Port Royale: Erste Apotheken geben wieder Zertifikate aus
    Paypal, Impfausweis, Port Royale
    Erste Apotheken geben wieder Zertifikate aus

    Sonst noch was? Was am 30. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

Lanski 19. Okt 2017

Ist falsch. Ich würde mich nicht als sehr unerfahrenen Benutzer bezeichnen und ich hatte...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /