Silverlight-Schadcode will gefälschtes Flash-Update installieren

Malware verbreitet sich per Browser-Plug-in

| Redakteur: Stephan Augsten

Mithilfe bösartiger Silverlight-Inhalte versuchen Cyber-Kriminelle, gefälschte Flash-Updates zu verteilen.
Mithilfe bösartiger Silverlight-Inhalte versuchen Cyber-Kriminelle, gefälschte Flash-Updates zu verteilen. (Bild: Websense / Archiv)

Internet-Nutzer werden laut Websense derzeit über Microsofts Multimedia-Plug-in Silverlight attackiert. Der Angriff entbehrt nicht einer gewissen Ironie: Bei aktivierter Benutzerkontensteuerung, dem Windows-Zugriffsschutz, wird der Anwender dazu aufgefordert, ein Update für den Adobe Flash Player zu installieren.

Mithilfe der ThreatSeeker Intelligence Cloud haben Websense-Forscher eine Bedrohung durch das Browser-Plug-in Silverlight entdeckt. Cyber-Kriminelle machen sich derzeit zwei Silverlight-Schwachstellen zunutze, für die Microsoft eigentlich bereits Updates bereitgestellt hat. Wer seinen Rechner nicht regelmäßig aktualisiert, sollte das alsbald nachholen.

Silverlight galt im Jahr 2007 als Microsofts Antwort auf den Flash Player und wird zur Bereitstellung multimedialer Web-Anwendungen genutzt. Verschiedene Video-on-Demand-Dienste und Live-Streams vertrauen auf Silverlight. Websense verweist unter anderem auf das Streaming von Events wie den Olympischen Sommerspielen 2008 oder den Winterspielen 2010.

Vor dem Hintergrund der aktuellen olympischen Wettbewerbe ist nicht ausgeschlossen, dass Angreifer potenzielle Opfer per Link auf eine infizierte Webseite locken. Der eigentliche Angriff beginnt dann damit, dass auf der bösartigen Webseite Java- und Silverlight-Inhalte aufgerufen werden, die ihrerseits einen Parameterwert beinhalten.

Bei der entsprechenden Zeichenfolge handelt es sich eigentlich um ein Visual Basic Script (VBS), das mithilfe des Base64-Verfahrens kodiert wurde. Silverlight generiert daraus eine VBS-Datei und legt diese im Order „C:\Users\<Benutzername>\AppData\Local\Temp\Log“ ab. Die Binärdatei generiert dann ihrerseits eine ausführbare Datei mit dem Namen 4bb213.exe und startet sie.

Die EXE-Datei kontaktiert nun zweimal ihren Command-and-Control-Server, um ihn wissen zu lassen, ob auf dem Rechner ein 32- oder 64-Bit-Betriebssystem läuft. Anschließend werden passende Dropper heruntergeladen, wie sie Cyber-Kriminelle oft verwenden, um weiteren Schadcode auf dem Opfer-PC zu installieren.

Im aktuellen Fall äußert sich dies in einem gefälschten Flash-Update, das sich bei eingeschalteter UAC (User Access Control, Benutzerkontensteuerung) beispielsweise unter dem Namen „UpdateFlashPlayer_30262788.exe“ ankündigt. Websense entdeckte über die ThreatSeeker Intelligence Cloud, dass vornehmlich Rechner aus Kanada und den USA auf die C&C-Server zugreifen, aber auch Europa – insbesondere die Niederlande – waren in der Geo-Statistik stark vertreten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42538542 / Malware)