Im Schatten von CEO-Phishing, DDoS-Attacken und Ransomware sorgt weiterhin auch schadhafte Online-Werbung für die Verbreitung von Malware. Neu ist hier jedoch, dass diese Malvertising-Kampagne nicht wie sonst üblich direkt den Nutzer im Browser befällt, sondern auf dessen Router zielt. Damit erreichen die Cyberkriminellen nicht nur ein Gerät eines Nutzers, sondern alle seine Geräte, die über den Router mit dem Internet verbunden sind.
Laut den Experten von Proofpoint tritt bei dieser Malvertising-Kampagne eine verbesserte Version des DNSChanger Exploit Kit (EK) in Erscheinung, einer Malware, die bereits seit 2012 in regelmäßigen Abständen Internetgeräte infiziert.
Wie wir bereits Anfang der Woche in unserem Beitrag zum Stegano Exploit-Kit “Malvertising über Bilder” berichtet haben, wird auch hier wieder Malware über infizierte bzw. mit Schadcode kompromittierte Werbung oder Werbebanner verteilt. Diese nutzen Sicherheitslücken wiederum im Browser aus. Die neue Version des DNSChanger verwendet Javascript, um über WebRTC die interne IP-Adresse des Computers zu ermitteln. Mit gesammelten Informationen wird anschließend ermittelt, ob der Anwender sich in einem routergesteuertem Heimnetzwerk befindet. Nur dann wird der Angriff fortgesetzt. Ist dies nicht der Fall, wird dem Anwender nur “normale” Werbung ausgespielt.

Würde sich der Nutzer jedoch im eigenen LAN befinden, wird dem Anwender wie erst Tage zuvor beim Stegano Exploit-Kit, ein infiziertes Bild im Browser angezeigt, welches einen AES-Schlüssel enthält. Über diesen AES-Schlüssel sucht der DNSChanger anhand einer Liste von 166 Routern, ob der Nutzer eines dieser Geräte benutzt. Wird einer dieser Router erkannt, werden entsprechende Exploit-Pakete gesendet. Dabei wird über die hardcodierte Admin- Anmeldeinformationen der Router übernommen, Im Anschluss werden diverse Ports freigegeben, interne DNS-Einstellungen geändert und weiterer Verkehr über die Infrastrukturen der Kriminellen geleitet.

Experten von Proofpoint berichten auch, dass verschiedene Router Modelle von Kriminellen komplett übernommen werden können.

Sobald der Angriff die Kontrolle über den Router gewonnen hat, kann dann auf den besuchten Webseiten des Nutzers “saubere” Werbung  durch infizierte und manipulierte Inhalte ersetzt werden. Betroffen sind in diesem Fall alle Nutzer von Chrome-Browsern, unabhängig von der Plattform- oder Geräte-Art. Auch wenn nicht jedes Gerät tatsächlich für die Schadsoftware anfällig ist, besteht trotzdem das Risiko, dass der Router als Man-in-Middle agiert und die komplette Kommunikation des Nutzers abgreift.
Aktuell ist nicht bekannt, welche 166 Router-Modelle genau betroffen sind. Laut Proofpoint haben jedoch einige Angriffe bereits auf Router-Modelle von Linksys, Netgear, D-Link, Comtrend, Pirelli und Zyxel stattgefunden. Es wird sich hier jedoch vor allem um ältere  Modelle handeln. Denn den Zugriff bekommt das DNSChanger Exploit Kit nicht über Sicherheitslücken auf den Geräten, sondern über eine Liste von hardcodierten, und damit durch den Anwender nicht änderbaren, Administratoren Credentials (Username/Passwort). Keiner dieser Hersteller setzt jedoch auf hardcodierte Standard-Zugänge bei seinen neuen Geräten.
Hervorzuheben ist zudem erneut die Quelle der Schadsoftware-Verbreitung, denn auch hier wurde wieder keine Werbeserver oder Werbeanbieter gehackt. Wie in den meisten Malvertising-Fällen wurden die Werbebanner für wenig Geld eingekauft und per Targeting an jene Nutzer verteilt, die über bekannte Sicherheitslücken verfügen. Nutzer von Script-und Werbeblockern wären übrigens vor den meisten Malvertising-Angriffen geschützt, selbstverständlich gehört aber zum Gesamt-Sicherheitspaket auch der Einsatz eines Virenscanners und das Einspielen von regelmäßigen Updates.

Was kann ich tun wenn mein Router betroffen ist?

Die Experten empfehlen die Aktualisierung der Router-Software bzw. ein Zurücksetzen auf Werkseinstellung und Einspielung der neuesten Firmware. Es reicht nicht nur die Zugangsdaten zu ändern! Weiterhin sollten die vernetzten Geräte auf Infektion hin überprüft werden. Da es sich um ältere Geräte mit Standard Passwörtern handelt, wäre eigentlich eine Neuanschaffung hier der sinnvollste Schritt.

Tipp von Botfrei: Wie kann ich meinen Rechner vor Malvertising schützen?

Bildschirmfoto 2014-10-20 um 13.00.59
Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  2. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  3. Halten Sie alle Programme auf dem Rechner aktuell z.B. automatisiert mit dem CSIS-Heimdal Security Agent
  4. Unerwünschte Werbung und diverse Scripte lassen sich sehr gut mit den Browser-Erweiterungen wie NoscriptAdblock vom System fernhalten.
  5. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.

Ist Ihr Computer mit dieser Malware infiziert, können Sie sich gerne in unserem kostenfreien Forum anmelden. Dort werden Experten das Problem “Schritt für Schritt” mit Ihnen beheben.
Bild: pixabay.com; Proofpoint