Malvertising-Kampagne

Bedrohungsakteure verbreiten Malware mit Hilfe von Google Ads

Uhr
von Maximilian Schenner und jor

Sicherheitsforscher warnen vor einer Malvertising-Kampagne. Die Bedrohungsakteure verwenden Google Ads, um Malware-Installer zu verbreiten. Dafür kommt das Plugin KoiVM zum Einsatz, das den Schadcode verschleiert.

(Source: 377053 / pixabay.com)
(Source: 377053 / pixabay.com)

Sicherheitsforscher warnen vor einer sogenannten Malvertising-Kampagne. Bedrohungsakteure nutzen dabei Werbeanzeigen, im aktuellen Fall jene auf Google, um Schadsoftware zu verbreiten, wie "Bleepingcomputer" berichtet.

Im Zuge der Kampagne sollen die Cybergauner das Datendiebstahl-Programm Formbook auf dem Computer ihrer Opfer installieren. Dafür komme die Virtualisierungstechnologie KoiVM zum Einsatz, heisst es weiter. Dabei handelt es sich um ein Plugin für den Protector ConfuserEx für .NET-Anwendungen. Es verschleiert die Opcodes eines Programms, sodass nur Virtual Machines sie verstehen, also Computer, die ohne Hardware laufen. Wird die Maschine gestartet, übersetzt sie die Opcodes wieder in ihre ursprüngliche Form und die Anwendung kann ausgeführt werden, wie “Bleepingcomputer” ausführt.

"Virtualisierungs-Frameworks wie KoiVM verschleiern ausführbare Dateien, indem sie den ursprünglichen Code, wie zum Beispiel .NET Common Intermediate Language (CIL)-Befehle, durch virtualisierten Code ersetzen, den nur das Virtualisierungs-Framework versteht", zitiert "Bleepingcomputer" aus einem Bericht von SentinelLabs. "Eine Virtual Machine Engine führt den virtualisierten Code aus, indem sie ihn zur Laufzeit in den Originalcode übersetzt."

Wird sie für böswillige Zwecke eingesetzt, erschwert die Visualisierung das Erkennen von Malware, wie es weiter heisst. Auch Antiviren-Programme würden nicht darauf anspringen.

Die KoiVM-Virtualisierung sei zwar für Hacking-Tools und Cracks beliebt, komme aber nur selten für die Verbreitung von Malware zum Einsatz, heisst es bei SentinelLabs. Das Sicherheitsunternehmen nimmt an, dass der neue Trend zum Gebrauch des Plugins eine Konsequenz dessen sei, dass Microsoft Makros in Office deaktiviert hat.

Stattdessen glaubt das Sicherheitsunternehmen, dass der neue Trend zur Verwendung von KoiVM eine der zahlreichen Nebenwirkungen der von Microsoft vorgenommenen Deaktivierung von Makros in Office sein könnte.

Übrigens: Das NCSC warnte Mitte Januar von einer Masche, bei der Kriminelle Websites hacken, um ihre eigenen Websites in den Google-Ergebnissen höher zu ranken. Hier lesen Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
68ZkbV7A