Yahoo, AOL-Besucher von Malware in Anzeigen, Ransomware in Aktion betroffen

Malvertising betrifft Yahoo, AOL-Besucher, verbreitet Ransomware über das FlashPack-Exploit-Kit

Mehrere stark frequentierte Websites, darunter Yahoo, AOL, Match.com und The Atlantic, wurden dabei entdeckt, bösartige Anzeigen an ihre Besucher auszuliefern. Die Malware in Aktion, „CryptoWall 2.0 Ransomware“, betraf die Besucher, die eine verwundbare/nicht gepatchte Version des Adobe Flash Players verwendeten.

Forscher von Proofpoint, die die Malvertising-Kampagne berichteten, sagten, dass die Malware nicht einmal einen Klick benötigte, um installiert zu werden; sie wurde automatisch über eine Schwachstelle in älteren Versionen von Flash Players installiert.

Ohne auf irgendetwas klicken zu müssen, könnten Besucher der betroffenen Websites heimlich mit der CryptoWall 2.0 Ransomware infiziert werden. Mithilfe von Adobe Flash ziehen die Malvertisements heimlich bösartige Exploits aus dem FlashPack-Exploit-Kit an. Die Exploits greifen eine Schwachstelle im Browser der Endbenutzer an und installieren CryptoWall 2.0 auf den Computern der Endbenutzer. So sagte Proofpoint in einem Blogbeitrag.

Nachdem die Malware den Computer des Opfers infiziert hat, verschlüsselt sie die Festplatte des Opfers und fordert ein Lösegeld, das über das Internet im Austausch für die Wiederherstellung der Dateien des Opfers in ihren ursprünglichen Zustand zu übermitteln ist.

Mehr als 3 Millionen Besucher pro Tag waren potenziell dieser Malvertising-Kampagne ausgesetzt, die geschätzte 25.000 US-Dollar pro Tag für die Angreifer generierte.

Liste der betroffenen Domains zusammen mit ihren globalen Alexa-Rankings, wie im Proofpoint-Blog angegeben.

Yahoo! Finance, Fantasy und Sports (yahoo.com, Global 4, US 4),
AOL (realestate.aol.com, US 37, Global 119),
The Atlantic (theatlantic.com, US 386, Global 1.206),
9GAG (9gag.com, US 528, Global 201),
match.com (US 203, Global 631),
The Sydney Morning Herald (www.smh.com.au, Australien 13, Global 780),
realestate.com.au (Australien 17, Global 1.656),
The Age (theage.com.au, Australien 34),
stuff.co.nz (Neuseeland 9),
societe.com (Frankreich 54, Global 1.649),
Dumpert (dumpert.nl, Niederlande 24),
Flirchi (flirchi.com, Indien 106, Global 1.129),
Weatherzone Australien (weatherzone.com.au, Australien 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Australien 183),
RSVP (rsvp.com.au, Australien 351),
The Canberra Times (canberratimes.com.au, Australien 403),
Time Out (US 1.145, Global 1.816),
The Beacon-News (beaconnews.suntimes.com, US 1.178),
Merca2.0 (merca20.com, Mexiko 229),
clicccar.com (Japan 1.124),
iPhone für Hongkong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentinien 784)

Die Malware in diesem Fall, CryptoWall 2.0 Ransomware, lädt einen Tor-Client auf den Computer des Opfers herunter, den sie verwendet, um sich mit ihrem Command and Control (c&c) Server zu verbinden und fordert ein Lösegeld in Höhe von 500 $ in Bitcoin.

Proofpoint stellte fest, dass die betroffenen Websites selbst nicht infiziert waren, sondern das Werbenetzwerk, auf das diese Websites angewiesen sind, um dynamische Anzeigen auszuliefern. Diese dynamischen Anzeigen lieferten wiederum das CryptoWall an die Opfer. Die Werbenetzwerke, darunter OpenX, Rubicon Project und Yahoo Ad Exchange, die unwissentlich diese bösartigen Anzeigen auslieferten, wurden über die Malvertising-Kampagnen informiert, und am Samstag wurden geeignete Maßnahmen ergriffen, um die Malvertising-Kampagne in diesen Netzwerken einzudämmen.