Malware im Schlepptau: Google Banner verbreiten Nuclear Exploit Kit

Wie Fox-IT mitteilt, hatte man gestern den Vorfall bemerkt und an Google gemeldet. Allem Anschein nach wurden die Google Werbebanner die Engage Lab geschaltet hatte, mit manipuliertem Code ausgeliefert. Der wiederum leitete die Nutzer auf Seiten um, bei denen man sich das Nuclear Exploit Kit einfangen konnte. Ob die Marketing-Agentur die vermeintlich unbedenklichen Banner mit der Absicht Malware zu verbreiten gebucht hat, ist derzeit nicht auszuschließen. Es könnte aber auch sein, dass die Engage Lab-Ads von einem Hacker für die Verbreitung des Exploits gekapert wurde. Fox-IT erklärt, wo man die verdächtige Weiterleitungen entdeckt hat.

Verdächtige Weiterleitungen

Die Weiterleitungen zwischen Banner und manipulierter Webseite verweisen auf foley.go2lightuniversity.com und 85.143.217.196.

Wie lang die Werbebanner so aktiv waren, und an wie viele Nutzer sie ausgestrahlt wurden, ist nicht bekannt. Google hat auf jeden Fall nach dem Hinweis von Fox-IT die gebuchten Banner deaktiviert.

Für die Nutzer ist das erst einmal ein geringer Trost. Denn es ist für den Internetnutzer nicht erkennbar gewesen, dass er bei dem Klick auf ein Banner auf einen Betrug hineinfiel und sich einen Trojaner einfing. Da die Google Werbeplätze betroffen waren, konnte die manipulierte Werbung auch auf seriösen Seiten angezeigt werden, bei denen sich der Besucher eigentlich sicher fühlen kann. Erkennbar war die Manipulation nicht so einfach.

Schwachstellen in Flash, Java und Silverlight

Das Nuclear Exploit Kit zielt auf Schwachstellen in Adobe Flash, Oracle Java und Microsoft Silverlight. Der Exploit ist ein alter Bekannter, der seit Jahren immer wieder sein Unwesen treibt. Da das Toolkit eine echte JavaScript-Bibliothek verwendet, kann es rasch von Security-Software entdeckt werden.

Zudem kann man laut Fox-IT Probleme einfach umgehen, indem man den Zugriff für 85.143.217.196 sperrt und Java und Co. aktuell hält.