Vermeintliche Skype-Inserate verbreiten Ransomware

In der Skype-App tritt derzeit vermehrt Malvertising auf. So berichten Nutzer davon, dass über vermeintliche Werbung Ransomware verbreitet wird. Die Malvertising-Inserate täuschen ein Update für den Adobe Flash Player vor. Statt dessen aber wird darüber ein mehrstufiger Angriff gestartet. Von Microsoft gibt es derzeit keine Stellungnahme.

Ein betroffener Nutzer machte über Reddit auf das Problem aufmerksam und belegte mit einem Screenshot die bösartige App auf dem Skype-Homescreen. Darin wurde der Nutzer zur Ausführung der Datei “FlashPlayer.hta” aufgefordert. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.

ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.

Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. “Das nennt man allgemein einen zweistufigen Dropper”, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. “Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.” Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das bekannte Exploitkit “Angler” zum Einsatz kommt.

Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.

Es ist nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.

[mit Material von Bernd Kling, ZDNet.de]