Security

Angriff mit gefälschten Antiviren-Programmen

10. August 2011, 11:38 Uhr | David Ladner | Kommentar(e)
© fotolia.com

Die Security-Labs von Blue-Coat-Systems, einen Anbieter von Lösungen für Websicherheit und WAN-Optimierung, haben eine neue Variante eines Angriffs mit gefälschter Antiviren-Software entdeckt. Bestimmte Werbeanzeigen im Web leiten Besucher dabei in das Shnakule-Netzwerk weiter, ein Malware-Delivery-Netzwerk.

Das Shnakule-Netzwerk besteht im Schnitt aus rund 2.000 individuellen Rechnern pro Tag. Das Maximum lag bislang bei 4.357 Rechnern an einem einzigen Tag. Im Durchschnitt registriert der Web-Pulse-Dienst von Blue-Coat täglich mehr als 21.000 Zugriffsversuche auf das Netzwerk. In der Vergangenheit zeichnete sich Shnakule insbesondere durch Angriffe mit gefälschter Antiviren-Software aus, die typischerweise Search-Engine-Poisoning als Verbreitungsweg nutzen. In seiner neuesten Angriffswelle nutzt Shnakule hingegen Malvertising für seine Attacken. Bis heute konnte Blue-Coat dabei mehr als 15.000 Zugriffsversuche von Benutzern identifizieren, die mit der aktuellen Angriffsform in Verbindung stehen.

Der neueste Angriff von Shnakule besteht aus insgesamt drei Stufen und macht sich bösartige Werbung im Web zu Nutze. In der ersten Stufe wurden dazu bösartige Ad-Server als unabhängige Einheiten aufgesetzt, die weder untereinander noch mit irgendeinem bestehenden Shnakule-Subnetz direkt in Verbindung standen. Aufgabe dieser Server war es, Internetnutzer zu Malware zu leiten.

In der zweiten Stufe leitet ein neues Shnakule-Subnetz Benutzer zu Malware um. Die letzte Stufe besteht dann aus der eigentlichen Malware, die sich laufend verändert, um nicht von echter Antiviren-Software erkannt zu werden. Die 19/11: Blue Coat identifiziert neuen Angriff mit gefälschten Antiviren-Programmen über Web-Werbebanner 2/3 schadhafte Komponente liegt dabei auf Servern, die WebPulse bereits als Teil des Shnakule-Malware-Delivery-Networks identifiziert hat. Durch diesen Einblick in das Shnakule-Netzwerk konnte der Web-Pulse-Dienst von Blue-Coat die Malware-Attacke unterbinden, bevor der Angriff gestartet wurde.

Die schadhafte Komponente liegt dabei auf Servern, die Web-Pulse bereits als Teil des Shnakule-Malware-Delivery-Networks identifiziert hat. Durch diesen Einblick in das Shnakule-Netzwerk konnte der WebPulse-Dienst von Blue-Coat die Malware-Attacke unterbinden, bevor der Angriff gestartet wurde.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. Angriff mit gefälschten Antiviren-Programmen
  2. Anhaltende Angriffe

Das könnte Sie auch interessieren

Verwandte Artikel

Blue Coat Systems

Professional Datacenter