Sicherheitsforscher von Trend Micro sind bei Bing- und Google-Suchen auf Malvertising-Anzeigen vom Open-Source-FTP-Client WinSCP gestoßen. Cyberkirminelle plazieren regelmäßig Anzeigen in Suchergebnissen , um mit Malvertising Fake-Tool mit Trojanern im Gepäck zu verbreiten.

Klickt ein Opfer auf eine Anzeige, wird es beispielsweise zu einer Webseite weitergeleitet, die ein Tutorial für WinSCP zeigt. Auf dieser Webseite ist dann wiederum ein Verweis zum Download des Tools, der jedoch nicht zur offiziellen Seite "winscp.net" führt, sondern zu "winscp.com".

Wenn ein Opfer auf die Masche reinfällt und auf Download klickt, wird eine Setup- und eine DLL-Datei heruntergeladen. Beim Ausführen des Setups wird zwar WinSCP wie erwartet installiert, jedoch zudem auch Schadcode.

Nach einer Erfolgreichen Infizierung haben die Betrüger Zugriff auf den Computer und können mithilfe ihrer Command-and-Control-Servern weitere Malware installieren. So können etwa mit dem Tool AdFind Informationen von Active-Directoy-Umgebungen ausgelesen werden. Mit diesen Informationen können die Angreifer im schlimmsten Fall weitreichend auf das AD zugreifen.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE