Scareware-Angriff mit falschem Flash-Update

Online-Kriminelle zielen gelegentlich auch mal nur auf Nutzer von Firefox und Chrome, lassen Benutzer des Internet Explorer in Ruhe. Vorgebliche Updates für den Flash Player, in denen Malware steckt, sind allerdings nicht weiter ungewöhnlich.

Christopher "Paperghost" Boyd berichtet im Blog des Sicherheitsunternehmens GFI Sunbelt über eine solche Malware-Falle. Die erste Stufe ist meist eine Suchmaschinenoptimierung ("BlackhatSEO") vorbereiteter Web-Seiten. Gelangt ein potenzielles Opfer auf eine solche Sprungbrettseite, ermittelt ein Script den verwendeten Browser. Benutzer des Internet Explorer werden nach usa.gov umgeleitet, bleiben von Malware-Attacken verschont.

Nutzer von Firefox oder Chrome werden auf ein vorgebliches "Update-Center" weitergeleitet, wo ihnen je nach Browser eine speziell gestaltete Seite präsentiert wird. Die Firefox-Seite gleicht der echten von Mozilla und zeigt an, dass der Browser aktuell sei, jedoch ein Update für den Flash Player benötigt würde. Anwender sollen eine Datei namens "ff-update.exe" herunter laden und installieren.

Chrome-Nutzern wird hingegen eine Seite angezeigt, die einen gefälschten Hinweis auf eine vorgeblich fehlende oder veraltete ActiveX-Komponente, den Adobe Flash Player enthält. ActiveX gibt es jedoch nur im Internet Explorer (IE), in Chrome ist der Flash Player fest integriert und nicht durch separate Downloads aktualisierbar. Allenfalls Benutzer des IE-Plugin Chrome Frame, das einen Chrome-Browser innerhalb des IE installiert, könnten darauf herein fallen. Sie sollen eine Datei namens "v11_flash_AV.exe" herunter laden und ausführen.

In beiden Fällen handelt es sich um ein Trojanisches Pferd aus der seit 2008 bekannten Schädlingsfamilie "2GCash". Es dient dem Klickbetrug und manipuliert die im Browser angezeigten Suchergebnisse. Außerdem lädt es verschiedene weitere Schädlinge herunter, darunter Scareware (betrügerische Antivirusprogramme). Die Seite mit der Malware-Falle ist inzwischen nicht mehr erreichbar.