Eine neue Schadsoftwarekampagne gibt Sicherheitsforschern nun Rätsel auf. Nicht weil sie sonderlich ausgefuchst wären, vielmehr verblüfft, dass sie wie aus einem anderen Jahrzehnt wirkt. Eine sogenannte Malvertising-Attacke hat sich Besucher beliebter Pornoseiten zum Ziel genommen. Das Besondere daran: Diese Art des Angriffs funktioniert nur mehr auf veralteten Browsern, konkret mit dem Internet Explorer, der dazu auch noch mit einem Adobe Flash-Player ausgestattet sein muss.

Xhamster

Aufgefallen ist die Angriffswelle den Sicherheitsforschern von Malwarebytes. Dies hatten mit Schadsoftware versehene Werbeeinschaltungen unter anderem auf Xhamster gefunden. Mit mehr als einer Milliarde Visits monatlich gehört Xhamster zu den am meisten genutzten Pornoseiten weltweit. Besucht ein Nutzer die Seite nun mit einer veralteten IE-Version und einem installierten Flash-Player, wird versteckter Code in der Werbung ausgeführt, über den Schadsoftware eingeschmuggelt wird. Eine Interaktion der User ist nicht notwendig, es reicht also wirklich das reine Ansurfen der Seite.

Wer sich auf diesem Weg eine Malware-Infektion einfängt, muss mit der folgenden Scham wohl leben – und zwar der Scham dermaßen veraltete Software zu nutzen. Sicherheitsforscher warnen schon lange vor dem Einsatz des Internet Explorers. Auch Microsoft selbst versucht seine Nutzer schon seit Jahren zum Umstieg auf den Umstieg auf den Nachfolger Edge zu bringen. Weltweit gesehen wird der IE denn auch nur mehr von knapp vier Prozent aller Nutzer eingesetzt. Ähnlich problematisch ist der Einsatz des Flash Players, der bei anderen Browsern längst von Haus aus deaktiviert ist, oder in einigen Fällen gar nicht mehr funktioniert. Selbst Adobe will den Support für die einst allgegenwärtige Software mit Ende des Jahres endgültig einstellen.

Letztes Aufgebot

Malwarebytes geht davon aus, dass die Angreifer schlicht versuchen, die letzten Früchte der IE-Defizite zu ernten. Entsprechend seien die Angriffe auch nicht auf Xhamster beschränkt, auch auf anderen Pornoseiten sollen entsprechende Attacken beobachtet worden sein. Dabei finden unterschiedliche "Exploit Kits" zum eigentlichen Einbruch Anwendung, darunter etwa Smoke Loader, Raccoon Stealer und ZLoader. Allen gemein ist das Ziel, Passwörter, Bank-Logins und andere sensible Daten zu stehlen und auch sonst die Nutzer auszuspionieren.

Der Ratschlag an die User ist insofern ein simpler: Sowohl Internet Explorer als auch den Flash Player dorthin schicken, wo sie hingehören: Auf den Friedhof der Softwaregeschichte. Mit modernen Browsern funktionieren solche Attacken schlicht nicht mehr, dort müssen Angreifer schon zu etwa aufwändigeren Tricks greifen, wollen sie die Nutzer hereinlegen. (red, 14.09.2020)