RoughTed Malvertising Kampagne infiziert eine halbe Milliarde Domains
Seit mehr als einem Jahr wütet die RoughTed Malvertising Kampagne und richtet mit Betrügereien und Exploit Kits weltweit riesigen Schaden in Betriebssystemen, Browsern und Geolocations an. Einmal infiziert, werden die System mit einer Mischung aus Payloads, einschließlich Betrügereien, Exploit Kits und Malware förmlich überflutet.
Jérôme Segura, führender Malware Intelligence Analyst bei Malwarebytes Labs spricht von mehr als einer halben Milliarde infizierter Domains allein seit Jahresbeginn 2017und bisher ist kein Ende abzusehen.
Die Kampagne zieht ihren Erfolg vor allem aus „anspruchsvollen Techniken“, die vollständig die Kontrolle der Systeme übernehmen und auch moderne AdBlocker mit Leichtigkeit ausschalten. Die Quelle der Malvertising Aktivitäten ist dabei sehr schwer zu identifizieren, das die Hacker die Amazon Cloud Infrastruktur und viele Umleitungen nutzen, um die Spuren zu verwischen.
Virenexperten auf der Spur der Kampagne
Das Malewarebyte-Team konnte feststellen, dass die Domains, die RoughTed weiter verbreiteten, über die EvoPlus-Registry unter .ru oder .au TLDs erstellt wurden. Jeweils nur in kleinerer Anzahl, um keinen verdacht zu erregen. Die Domains wurden als Ausgangspunkt für Workaround-Ad-Blocker verwendet. RouhgTed hat Fingerprinting-Techniken absorbiert, liefert Payloads an Mac Nutzer über gefälschte Flash Player Updates und infiziert auch mobile Plattformen, iOS und Android, indem sie bei jedem Download von zufälligen Apps ihre Malvertising durch automatisierte Umleitungen installieren. Zudem gehen die Hacker „weite Wege“ um alle Ad-Blocker und stellen den Opfern gezielte Inhalte vor.
Jérôme Segura warnt deshalb ausdrücklich vor Software-Downloads von Drittanbietern. Wichtig ist die Installation von leistungsstarken Ad-Blockern. Der Sicherheitsexperte gibt aber zu , das es bis jetzt noch nicht gelungen ist, adäquate Techniken gegen diese vielseitige und starke Kampagne zu finden. Deshalb warnen die Experten weiterhin, um so viele Nutzer wie möglich zu sensibilisieren, bis Maßnahmen gefunden sind, um den Angriff zu beenden. Er baut auf „aggressive Techniken“, die die RoughTed Malvertising Kampagne zu neuen Aktionen zwingt und schließlich auslaufen lässt.