Malvertising-Kampagne liefert digital signierte CryptoWall-Ransomware

Die Cyberkriminellen hinter der CryptoWall-Ransomware Bedrohungen haben ihr Spiel verstärkt und signieren neue Muster digital, bevor sie sie in Angriffen verwenden, um die Virenerkennung zu umgehen.

Forscher des Netzwerksicherheitsunternehmens Barracuda Networks haben neue CryptoWall-Beispiele gefunden, die mit einem legitimen Zertifikat digital signiert wurden. Die Stichproben wurden durch Drive-by-Download-Angriffe verbreitet, die von beliebten Websites über bösartige Werbung gestartet wurden.

Mehrere Websites in der Top 15.000-Liste von Alexa waren von dieser neuesten malvertising-bösartigen Werbekampagne betroffen, einschließlich hindustantimes.com, der Website der indischen Tageszeitung Zeitung Hindustan Times; Israelische Sportnachrichtenseite one.co.il; und Web-Entwicklungs-Community codingforums.com.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"In jedem Fall sind bösartige Inhalte über die Nutzung des Zedo-Werbenetzwerks auf der Website angekommen", sagten die Barracuda-Forscher in einem Blogpost Sonntag.

Zedo wurde zusammen mit dem DoubleClick-Werbenetzwerk von Google in diesem Monat auch von Angreifern genutzt, um auf den Websites von Times of Israel, Jerusalem Post und Last.fm schädliche Anzeigen zu schalten. Diese Angriffskampagne verteilte ein Malware-Programm namens Zemot.

Bei einem Malvertising-Angriff werden die Browser der Besucher von Rogue-Anzeigen auf Seiten von Drittanbietern umgeleitet, die Exploits auf Schwachstellen in veralteten Browser-Plugins wie Java, Flash Player, Adobe Reader oder Silverlight.

"Nach erfolgreicher Kompromittierung wird eine Instanz von CryptoWall Ransomware auf dem System des Opfers installiert", sagten die Barracuda-Forscher in ihrer Analyse des neuen Angriffs. "Die bestimmte Instanz, die über die heutige Kampagne geliefert wurde, hat eine gültige digitale Signatur und scheint nur Stunden vor ihrer Verteilung signiert worden zu sein."

CryptoWall ist ein besonders böses Ransomware-Programm. Sobald es auf einem System installiert ist, verschlüsselt es Dateien, die einer langen Liste von Dateierweiterungen entsprechen, mit starker Kryptografie mit öffentlichen Schlüsseln. Dann bittet er die Opfer, ein Lösegeld in Bitcoin zu zahlen, um den Schlüssel für die Wiederherstellung ihrer Dateien zu erhalten.

Gegenwärtig gibt es keine völlig zuverlässige Methode, CryptoWall-verschlüsselte Dateien wiederherzustellen, abgesehen von der Zahlung des Lösegelds. während der Infektion beschädigt worden. Sicherheitsforscher raten davon ab, das Lösegeld zu zahlen, weil dies den Betrug weiter fördert, und es gibt keine Garantie, den Schlüssel im Umgang mit Cyberkriminellen zu bekommen.

Eine kürzlich durchgeführte Analyse des CryptoWall-Betriebes durch Dell SecureWorks ergab, dass die Malware mehr als 600.000 Computersysteme infiziert hat seit März und verdient seine Schöpfer über US $ 1 Million.

Die digitale Unterzeichnung von CryptoWall-Proben ist wahrscheinlich ein Versuch, Antivirus-Erkennung zu umgehen. Der Erfolg dieses Ansatzes ist umstritten, da diese Vorgehensweise unter Malware-Entwicklern nicht mehr ungewöhnlich ist und viele Sicherheitsprodukte dafür verantwortlich sind. Es kann jedoch Fälle geben, in denen das Signieren von Malware mit Zertifikaten, die von vertrauenswürdigen Entwicklern gestohlen wurden, einige Regeln für die Whitelist von Anwendungen umgehen.

Die neuen CryptoWall-Beispiele wurden von keinem der 55 Antivirus-Produkte erkannt, die auf der VirusTotal-Website verwendet wurden. Die Barracuda-Forscher sagten. Die Erkennungsrate sei seither leicht gestiegen.

Um sich vor Malvertising und Drive-by-Download-Angriffen zu schützen, sollten Benutzer die auf ihren Computern installierte Software auf dem neuesten Stand halten, insbesondere die Webbrowser und deren Plug -ins. Sie sollten auch Click-to-Play für Plug-in-basierten Inhalt ermöglichen, wenn die Funktion in ihrem bevorzugten Browser verfügbar ist.

Korrektur (10/3): Aufgrund falscher Informationen aus einer Quelle der erste Satz des zweiten Absatzes der Geschichte, "Malvertising Kampagne liefert digital signierte CryptoWall Ransomware", falsch angegeben, die Quelle eines digitalen Zertifikats.