Nur für Firefox und Chrome

Scareware-Angriff mit falschem Flash-Update

Vorgebliche Updates für den Flash Player sollen Benutzer der Browser Firefox und Chrome in die Malware-Falle locken. Zumindest die Firefox-Falle ist recht überzeugend, die Chrome-Falle könnte allenfalls bei Nutzern von Chrome Frame für Internet Explorer zuschnappen.

Online-Kriminelle zielen gelegentlich auch mal nur auf Nutzer von Firefox und Chrome, lassen Benutzer des Internet Explorer in Ruhe. Vorgebliche Updates für den Flash Player, in denen Malware steckt, sind allerdings nicht weiter ungewöhnlich. Christopher "Paperghost" Boyd berichtet im Blog des Sicherheitsunternehmens GFI Sunbelt über eine solche Malware-Falle. Die erste Stufe ist meist eine Suchmaschinenoptimierung ("BlackhatSEO") vorbereiteter Web-Seiten. Gelangt ein potenzielles Opfer auf eine solche Sprungbrettseite, ermittelt ein Script den verwendeten Browser. Benutzer des Internet Explorer werden nach usa.gov umgeleitet, bleiben von Malware-Attacken verschont.

Falle: Scareware-Angriff mit falschem Flash-Update.
Falle: Scareware-Angriff mit falschem Flash-Update.

Nutzer von Firefox oder Chrome werden auf ein vorgebliches "Update-Center" weitergeleitet, wo ihnen je nach Browser eine speziell gestaltete Seite präsentiert wird. Die Firefox-Seite gleicht der echten von Mozilla und zeigt an, dass der Browser aktuell sei, jedoch ein Update für den Flash Player benötigt würde. Anwender sollen eine Datei namens "ff-update.exe" herunter laden und installieren.

Täuschung: Malware-Falle für Chrome-Nutzer.
Täuschung: Malware-Falle für Chrome-Nutzer.

Chrome-Nutzern wird hingegen eine Seite angezeigt, die einen gefälschten Hinweis auf eine vorgeblich fehlende oder veraltete ActiveX-Komponente, den Adobe Flash Player enthält. ActiveX gibt es jedoch nur im Internet Explorer (IE), in Chrome ist der Flash Player fest integriert und nicht durch separate Downloads aktualisierbar. Allenfalls Benutzer des IE-Plugin Chrome Frame, das einen Chrome-Browser innerhalb des IE installiert, könnten darauf herein fallen. Sie sollen eine Datei namens "v11_flash_AV.exe" herunter laden und ausführen.

In beiden Fällen handelt es sich um ein Trojanisches Pferd aus der seit 2008 bekannten Schädlingsfamilie "2GCash". Es dient dem Klickbetrug und manipuliert die im Browser angezeigten Suchergebnisse. Außerdem lädt es verschiedene weitere Schädlinge herunter, darunter Scareware (betrügerische Antivirusprogramme). Die Seite mit der Malware-Falle ist inzwischen nicht mehr erreichbar. (PC-Welt/cvi)