Die rumänische Firma Bitdefender hat ein Botnet mit dem Namen Million-Machine enttarnt, welches für Klickbetrug genutzt wird. Interessant sind die Hintergrundinformationen, speziell, wie das Teil auf die Rechner kommt.
Als Klickbetrug wird ein Ansatz genannt, der über Scripte oder andere Automatismen Webseiten mit Werbeanzeigen aufruft, um dem Seiteninhaber Werbeeinnahmen einzuspielen. Beim Million-Machine Botnet schnüffelt die Malware die Internetkommunikation des Benutzers aus und blendet bei der Suche in Google, Bing oder Yahoo eigene Werbeseiten in die betreffende Trefferliste. Konkret wird die URL in der Trefferliste so manipuliert, dass der Nutzer das nicht bemerkt, er aber beim Anklicken auf einen Link auf die betreffenden Seiten umgeleitet wird. Dort kassieren die Seitenbetreiber dann die Werbeeinnahmen.
(Quelle: Bitdefender)
Interessant ist für mich vor allem der Verbreitungsweg, erfolgt die Infektion doch durch populäre Software wie WinRAR, YouTube Downloader, Connectify, KMSPico oder Stardock Start8. In allen diesen Paketen ist der Paco-Redirector als Beifang enthalten. Diese trägt zwei Registrierungswerte „Adobe Flash Scheduler“ und „Adobe Flash Update“ in den Autostart ein und installiert ein eigenes Zertifikat samt einem Proxy-Server für den IE. Damit gelingt es, den Webverkehr zu filtern und eigene Werbung einzublenden. Das Botnet umfasst mittlerweile 900.000 Rechner, wie Bitdefender in diesem Blog-Beitrag schreibt. (via)
Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Lenovo Service Engine (LSE) – Superfish reloaded II
Windows 10: Pokki wird automatisch installiert
Hacker-Forum Nulled.IO gehackt – Daten geleaked
Sicherheitsinfo–Pfingsten 2016
Ergo: alles andere nutzen, bloß nicht den IE :)
Welche Reg.-Einträge genau, welche Zertifikate?
Die Infektion erfolgt aber nicht durch pobuläre Software, bei denen man sich die Originalinstallationsprogramme vom Hersteller oder einer anderer vertrauenswürdigen Quelle heruntergeladen hat. Bitdefender schreibt selbst in dem Blog: The malicious infection chain starts with a modified MSI file.
Das ist ein grundsätzliches Problem, aber keines dieser speziell genannten Produkte. Ich finde, das solltest Du in Deinem Artikel berichtigen. Im Moment liest es sich nämlich eher so, als ob die Hersteller der genannten Produkte an dieser Sauerei beteiligt wären. Das Problem ist aber, dass man sich bei jeder Software ein unsauberes Installationsprogramm einfangen kann, wenn man nicht auf die Downloadquelle aufpasst.
Grundsätzlich sollte man eh nur Programme von sicheren Download Quellen herunterladen zb. http://www.heise.de/download/ , downloads.netmediaeurope.de oder auch http://www.chip.de um nur einige zu nennen, letzteres Chip nicht so gerne aber wenn mal das Programm wo nach man sucht, wo anders nicht findet ist das noch besser als irgend so eine Verwurmte Seite.
Diese Option Automatisch aus dem IE heraus zu installieren finde ich sowieso übels.
Chip.de habe ich auch eine Zeit lang in meinen Einsteigerbüchern als seriöse Quelle empfohlen, genau wie Computerbild. Heute könnte ich mich in den Hintern beißen – liefern doch beide Sites Downloads mit einem vorgeschalteten Installer aus, der PUPs im Beifang auf die Anwendersysteme spielt. Seitdem segeln beide Seiten nicht mehr unter „seriösen“ bzw. „sicheren“ Quellen. Die Download-Seite von heise.de lasse ich noch gelten, verlinken die doch meistens auf die Herstellerseite. Aber auch da sollen Entwickler ja irgendwann PUPs im Installer mit ausliefern.
Hallo,
kann ich bestätigen. chip.dx und computerbild.dx sind für mich keine seriösen Download Sites mehr. Obwohl bei chip. nicht alle Downloads mit einem PUP Installer versehen sind. Wenn doch, meckert das AV von ESET. Computerbild. lässt sich aufgrund meiner Sicherheitseinstellungen im FF (u.a. Scripte und Frames von Drittseiten permanent geblockt) der Download erst gar nicht starten.