Angriff mit gefälschten Antiviren-Programmen

Die Security-Labs von Blue-Coat-Systems, einen Anbieter von Lösungen für Websicherheit und WAN-Optimierung, haben eine neue Variante eines Angriffs mit gefälschter Antiviren-Software entdeckt. Bestimmte Werbeanzeigen im Web leiten Besucher dabei in das Shnakule-Netzwerk weiter, ein Malware-Delivery-Netzwerk.

Das Shnakule-Netzwerk besteht im Schnitt aus rund 2.000 individuellen Rechnern pro Tag. Das Maximum lag bislang bei 4.357 Rechnern an einem einzigen Tag. Im Durchschnitt registriert der Web-Pulse-Dienst von Blue-Coat täglich mehr als 21.000 Zugriffsversuche auf das Netzwerk. In der Vergangenheit zeichnete sich Shnakule insbesondere durch Angriffe mit gefälschter Antiviren-Software aus, die typischerweise Search-Engine-Poisoning als Verbreitungsweg nutzen. In seiner neuesten Angriffswelle nutzt Shnakule hingegen Malvertising für seine Attacken. Bis heute konnte Blue-Coat dabei mehr als 15.000 Zugriffsversuche von Benutzern identifizieren, die mit der aktuellen Angriffsform in Verbindung stehen.

Der neueste Angriff von Shnakule besteht aus insgesamt drei Stufen und macht sich bösartige Werbung im Web zu Nutze. In der ersten Stufe wurden dazu bösartige Ad-Server als unabhängige Einheiten aufgesetzt, die weder untereinander noch mit irgendeinem bestehenden Shnakule-Subnetz direkt in Verbindung standen. Aufgabe dieser Server war es, Internetnutzer zu Malware zu leiten.

In der zweiten Stufe leitet ein neues Shnakule-Subnetz Benutzer zu Malware um. Die letzte Stufe besteht dann aus der eigentlichen Malware, die sich laufend verändert, um nicht von echter Antiviren-Software erkannt zu werden. Die 19/11: Blue Coat identifiziert neuen Angriff mit gefälschten Antiviren-Programmen über Web-Werbebanner 2/3 schadhafte Komponente liegt dabei auf Servern, die WebPulse bereits als Teil des Shnakule-Malware-Delivery-Networks identifiziert hat. Durch diesen Einblick in das Shnakule-Netzwerk konnte der Web-Pulse-Dienst von Blue-Coat die Malware-Attacke unterbinden, bevor der Angriff gestartet wurde.

Die schadhafte Komponente liegt dabei auf Servern, die Web-Pulse bereits als Teil des Shnakule-Malware-Delivery-Networks identifiziert hat. Durch diesen Einblick in das Shnakule-Netzwerk konnte der WebPulse-Dienst von Blue-Coat die Malware-Attacke unterbinden, bevor der Angriff gestartet wurde.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Angriff mit gefälschten Antiviren-Programmen
2. Anhaltende Angriffe

Lesen Sie mehr zum Thema

Weitere Artikel zu Blue Coat Systems

Vielseitiges und kostengünstiges ITX-Board

ICP Deutschland: PC-Board für industrielle Automatisierung

Acceed: Mactron-Produkte im Portfolio

Touch-Panel-PCs für die Industrie

Compmall: Lüfterloser Kleinstrechner Tango-3010

Kommunikationsstarker Mini-Box-PC

Kontron präsentiert Panel-PC-Serie FlatClient Pro

PCs für anspruchsvolle Steuerungs- und Visualisierungsaufgaben

Congatec: Computer-on-Modules mit…

Embedded Computer mit High-End-Leistung

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft