Malvertising: Mac-Nutzer von Trojaner per Steganographie bedroht

Michael Schäfer 37 Kommentare
Malvertising: Mac-Nutzer von Trojaner per Steganographie bedroht
Bild: StockSnap | CC0 1.0

Nutzer von macOS sehen sich aktuell einer groß angelegten Malvertising-Kampagne ausgesetzt, welche versucht, mittels Steganographie und einem darin enthaltenen JavaScript-Schadcode Trojaner auf dem System zu installieren. Nutzern wird zur Vorsicht geraten.

Fünf Millionen präparierte Anzeigen in zwei Tagen

Dies hat der Sicherheitsanbieter Confiant herausgefunden. Gegenüber vorherigen Bedrohungen übertrifft die jetzt entdeckte Kampagne den Experten zufolge ältere vor allem in Größe, Reichweite und den dafür zur Verfügung stehenden Ressourcen bei weitem. Es konnte beobachtet werden, dass in einem Zeitraum von 11. bis 13. Januar mehr als 5 Millionen manipulierte Anzeigen auf Webseiten veröffentlicht wurden, bei welchen die darin enthaltenen Bilder per Steganographie eingebetteten JavaScript-Code enthielten. Dieser Code enthielt eine Weiterleitung, welche nach dem Aufruf der Seite mit der enthaltenen Anzeige anschließend einen Trojaner nach sich zog.

Großer Aufwand betrieben

Die Angreifer scheuten zur Verteilung des Schädlings keine Mühen: Damit der Schadcode unbemerkt an den Augen diverser Sicherheitsmechanismen vorbeigeschleust werden konnte, wurde dieser unsichtbar in ein als Container fungierendes Bild gepackt.

Mittels HTML5 wurde über die Anzeige ein Canvas-Objekt erstellt, welches zunächst untersuchte, ob das System Mac-spezifische Schriftarten unterstützt. Wurden diese gefunden, sprang der Code zum in der Anzeige enthaltenen Bild und las dieses mittels einer Schleife aus. Dabei wurde jedes Pixel des Bildes untersucht und in alphanumerische Zeichen übersetzt, welche anschließend zu einem Text-String zusammengefügt wurden – womit die Weiterleitung ausgeführt wurde.

Über diese wurde der Nutzer in einem weiteren Schritt zu einer präparierten Webseite mit der Information geführt, dass der Flash-Player des Systems veraltet sei und eine Aktualisierung erforderlich wäre. Statt der Adobe-Software wurde jedoch ein Trojaner installiert, welcher weitere Schadsoftware nach sich zog.

Andere Systeme bisher nicht betroffen

Nutzer anderer Systeme blieben von der Aktion nach bisherigen Erkenntnissen dagegen unberührt. Wurde von dem Script keine Unterstützung für die benötigten Schriftarten gefunden, wurde keine weitere Aktion ausgelöst.

Verteilung über Seiten mit hohen Zugriffen

Für den Angriff soll eine Gruppe mit dem Namen VeryMal verantwortlich sein, benannt nach der Domain veryield-malyst.com, über welche die Angreifer ihre Anzeigen veröffentlichten. Dabei soll die Kampagne auf rund 25 der in dem Zeitraum zugriffsstärksten Websites aktiv gewesen sein.

Die Gruppe ist zudem nicht unbekannt: Erst im letzten Monat soll VeryMal für einen Angriff in ähnlicher Form auf sowohl macOS- wie auch iOS-Nutzer verantwortlich gewesen sein. Dabei ist die Gruppe nicht nur auf Betriebssysteme von Apple beschränkt, auch Windows-Nutzer standen mehr als einmal in deren Fokus.

Aufmerksamkeit ist weiterhin geboten

Nutzern wird zur Vorsicht geraten, es kann nicht ausgeschlossen werden, dass die Aktion aktuell noch immer aktiv ist.