Security: Doubleclick und Zedo lieferten Malware aus

Kusanar

BIOS-Overclocker(in)
Malwarebytes hat einen versteckten Trojaner in Werbung der Anbieter Doubleclick und Zedo gefunden. Unter der Ausnutzung des Nuklear Exploit Kits wurde der Trojaner Trojan.Agent.BPEN aus der Trojanerfamilie Zemot auf den infizierten Rechnern installiert, welcher in Folge dazu fähig war, weitere Schadsoftware zu installieren.

Das Nuklear EK nutzt Schwachstellen in Flash-, PDF- und JAR-Formaten aus und bedient sich Code-Verschleierungsmethoden (Code obfuscation) um unentdeckt zu bleiben. Wurde eine Schwachstelle gefunden, wird darüber der erwähnte Trojaner auf dem System installiert.

Betroffene Webseiten waren unter anderem Times of Israel, Jerusalem Post und last.fm. (Klick auf die Links erfolgt auf eigene Gefahr :D) Laut Malwarebytes sind aber mittlerweile keine verdächtigen Aktivitäten mehr auf den Seiten zu finden:

Malwarebytes schrieb:
Update (09/19/14 9:20 AM PT): It appears that the malicious redirection has stopped. Last activity was detected by our honeypots around midnight last night, and nothing else since then. We are still monitoring the situation and will update here if necessary.

Quellen:
Malwarebytes Originalbericht
Malwarebytes Update Bericht
Nuklear Exploit Kit bei zscaler.com
 
Noch schlimmer, wenn da eine Größe im Web wie Google einfach mal ignoriert was vor sich geht. Dabei ist es nicht das erste Mal, dass eingebettete Werbung einer Drittpartei Malware verbreitet.
Stellt euch mal vor PGCH-X wäre verseucht gewesen... sowas kann die mühsame erarbeitete Reputation einer Webseite von Heute auf Morgen komplett zu Nichte machen.

Bin am überlegen, ob ich in Zukunft massiv auf diverse Adblocker setzen soll. Nicht nur am eigenen Rechner, sondern auch bei Verwandten und Bekannten, denen man immer wieder mal PC-technisch aushilft...
 
Geht ja nur um Kunden, shit happens. man hat das Gefühl das deren Profite das einzige sind was die interessiert
 
Tails in verbindung mit VM PLayer ist ein Allerheilmittel gegen vieles!

Schon vergessen als PCGH gehacked wurde?
Da is auch massig viel Malware über die Werbung verteilt worden :devil:
 
Selbst wenn man den Seiten im Prinzip wohlwollend gegenüber steht, rein theoretisch die Werbung also zulassen würde, so Sachen wie untergejubelter Schadcode durch die externen Anbieter lassen einen einfach Adblocker, NoScript und co. auch weiterhin auf Dauerschleife arbeiten. Risiko, sich was einzufangen, selbst wenn es nur 1% betragen sollte, ist Risiko. In der Sache kommen wir aber eh auf keinen gemeinsamen Nenner, da sind die Webseitenbetreiber und Nutzer einfach zu unterschiedlich.
 
Stellt euch mal vor PGCH-X wäre verseucht gewesen... sowas kann die mühsame erarbeitete Reputation einer Webseite von Heute auf Morgen komplett zu Nichte machen.
Den Fall hatten wir doch vor ein paar Jahren. Die Seite des MySQL-Projekts wurde ebenfalls schon auf diese Weise missbraucht.

MfG Jimini
 
Geht ja nur um Kunden, shit happens. man hat das Gefühl das deren Profite das einzige sind was die interessiert

Ja, manche nehmen das auch nicht wirklich ernst. Ich hatte mal vor einigen Jahren hier regional auf den Seiten des Linienbusbetreibers diverse infizierte Seiten (diverse AV und Rechner, Virustotal Linktest) "entdeckt", habe dort Bescheid gesagt (email/telefon), keine Reaktion, bis zu einem halben Jahr waren die entsprechenden Files "online":schief:..aber hey, vielleicht haben die mit dem örtlichen Mediablöd zusammengearbeitet (Anteilige Provision für verkaufte Antivirenprogramme...^^ )
 
Noch schlimmer, wenn da eine Größe im Web wie Google einfach mal ignoriert was vor sich geht. Dabei ist es nicht das erste Mal, dass eingebettete Werbung einer Drittpartei Malware verbreitet.
Stellt euch mal vor PGCH-X wäre verseucht gewesen... sowas kann die mühsame erarbeitete Reputation einer Webseite von Heute auf Morgen komplett zu Nichte machen.

Bin am überlegen, ob ich in Zukunft massiv auf diverse Adblocker setzen soll. Nicht nur am eigenen Rechner, sondern auch bei Verwandten und Bekannten, denen man immer wieder mal PC-technisch aushilft...

Was viele nicht wissen/bedenken: Doubleclick gehört zu Google.
 
Was viele nicht wissen/bedenken: Doubleclick gehört zu Google.

"Ein Schelm, der dabei böses denkt!"
Vielleicht doch nicht?

Wer kann genau sagen, das mit der Ignoranz zu diesen Trojaner, nicht auch direkte Interessen von Seiten Googles vorhanden sind?
Macht, hat bisher in jeder Zeit, früher, oder später, zum Mißbrauch geführt!
Das Google nicht nur im eigenen Interesse handelt, auch wenn man das bestreitet, steht doch mittlerweile auch außer Zweifel.

Interessant ist, das, auch in Bezug zu PCGH, die Nutzung von Webseiten mit eingeschalteten Adblockern, (IE mit aktivierten Trackingschutz) wesentlich zügiger geladen werden.
Also, warum sollte man, schon allein deswegen, Interesse haben, sich diesen zu entledigen?

Einige Webseiten zwingen einen jedoch zum Abschalten, da man sonst nicht an relevante benötigte Eingaben heran kommt!
Diese Webseiten werden mittlerweile immer mehr. (auch allgemein bekannte).
Also steht man wieder vor der Wahl, sich letztendlich Bevormunden zu lassen.
 
Wer kann genau sagen, das mit der Ignoranz zu diesen Trojaner, nicht auch direkte Interessen von Seiten Googles vorhanden sind?
Macht, hat bisher in jeder Zeit, früher, oder später, zum Mißbrauch geführt!
Das Google nicht nur im eigenen Interesse handelt, auch wenn man das bestreitet, steht doch mittlerweile auch außer Zweifel.

Google hast du heute leider fast überall drinnen, von analytics services bis zu den Captches und vieles mehr.Viele Webseitenbetreiber binden genügen "JAVA" Müll leider mit ein.
Jedes Android Handy hat so viel Google müll includiert KEYWORD: Google services

Interessant ist, das, auch in Bezug zu PCGH, die Nutzung von Webseiten mit eingeschalteten Adblockern, (IE mit aktivierten Trackingschutz) wesentlich zügiger geladen werden.
Also, warum sollte man, schon allein deswegen, Interesse haben, sich diesen zu entledigen?

Pcgh hat das Forum an das Cloudflare-Netzwerk angebunden.Wegen Hackingversuche und gegen DDOS. Leider setzt Cloudflar massiv auf Canvas fingerprinting und Captchas von "Verhaltensauffälligen IPS" (Tor Netzwerk zb)

Einige Webseiten zwingen einen jedoch zum Abschalten, da man sonst nicht an relevante benötigte Eingaben heran kommt!
Diese Webseiten werden mittlerweile immer mehr. (auch allgemein bekannte).
Also steht man wieder vor der Wahl, sich letztendlich Bevormunden zu lassen.

99% der Webpages funktionieren nicht wenn man java scripts deaktiviert. Bei vielen liegts auch and den Ajax Buttons, die gleich mit gesperrt werden.
Dank Canvas ist jegliche Trackerkontrolle mittlerweile obsolent. Es gibt zwar ein Chromeplugin Cameleon welches versucht den Useragent zu faken und ihn wie von einem Tor Browser aussehen zu lassen, nur das funkt noch nicht so wie ichs gerne hätte.
Imo ist das einzige der Tor-Browser der Tracking wirklich aktiv unterbindet.(Es wir ein Leerbild übermittelt)
Wenn man noch eine Stufe sicherer sein will, nutzt man Tails in einer virtual machine zum Täglichen surfen :devil: (Tor ist mittleweile recht schnell )

greetz Razzor
 
Über zattoo/zedo Werbeeinblendungen wurde auch Mist verteilt.
Zum Glück hats avira erkannt.

Kommentar vom zattoo Support:
Das ist nicht möglich...
 
Habe ne Sophos UTM im Einsatz, das mir zuverlässig Viren, Würmer, Werbung, Tracker usw. rausfiltert.
So brauch ich mir meinen Rechner nicht mit irgendwelchen ad-Blockern und ähnlichem zumüllen. ;)
 
Viren, Würmer, Werbung ist sicher nicht schlecht wenn man etwas auf HW-Ebene hat.
Das Teil ist ja quasi ein IDS mit ein paar goodies :)

Nur bei Fingerprinting wirds schwer, das "Canvas Element" ist ja nicht immer "Bösartig".
Auf jedenfall nutzt imo nur der TorBrowser etwas, da man ein Packet aus Useragent (Faker) und Canvasblocker bekommt.
Die klassischen Tracker die auf Javascriptebene funktionieren, kann man sicher mit passenden filtern direkt aus dem TCP/IP stream filtern (wie auch Werbung)
 
Viren, Würmer, Werbung ist sicher nicht schlecht wenn man etwas auf HW-Ebene hat.
Das Teil ist ja quasi ein IDS mit ein paar goodies :)
Also Hardwareebene ist nochmal was anderes - die genannten Sachen wirst du nur auf Softwarelevel filtern können, da es sich ja schließlich um Software handelt ;)
Je nachdem wo solche "rundum glücklich"-Lösung ansetzen, ist Vorsicht geboten: je früher unerwünschte Inhalte gefiltert werden, desto besser. Wenn ein Programm das dann erst nachträglich wieder aus Webseiten rausfriemelt, nachdem alles ohnehin schon geladen wurde oder die Sachen erst am Ausführen gehindert werden, kann man sich das ganze eigentlich auch direkt sparen.

Werbung wird in der Regel nicht anhand der TCP-Pakete erkannt (das wäre vergleichsweise rechenlastig), sondern ganz simpel über Blacklists und URL-Bestandteile. Man glaubt gar nicht, was man schon allein mit dem regulären Ausdruck ^http(s)?://ad\..+" alles erwischen kann ;)

MfG Jimini
 
Also Hardwareebene ist nochmal was anderes - die genannten Sachen wirst du nur auf Softwarelevel filtern können, da es sich ja schließlich um Software handelt ;)
Je nachdem wo solche "rundum glücklich"-Lösung ansetzen, ist Vorsicht geboten: je früher unerwünschte Inhalte gefiltert werden, desto besser. Wenn ein Programm das dann erst nachträglich wieder aus Webseiten rausfriemelt, nachdem alles ohnehin schon geladen wurde oder die Sachen erst am Ausführen gehindert werden, kann man sich das ganze eigentlich auch direkt sparen.

Werbung wird in der Regel nicht anhand der TCP-Pakete erkannt (das wäre vergleichsweise rechenlastig), sondern ganz simpel über Blacklists und URL-Bestandteile. Man glaubt gar nicht, was man schon allein mit dem regulären Ausdruck ^http(s)?://ad\..+" alles erwischen kann ;)

MfG Jimini

Mit HW habe ich indirekt ja wiederum einen "ART PC" gemeint
Egal wie man Filtert man setzt i.d.r immer auf Software
Das coole was mir dabei so gefällt es ist abgeschottet vom Client.

Nehmen wir mal eine HW-Firewall die als ReversProxy das Netzwerk bedient, da wird sehr wohl der TCP/IP stream "gescaned";)
Auch Https ist kein Problem wenn man das Hauptzertifikat auf den jeweiligen Clients installiert (von HW-Firewall// Server)
Die System die ich kenne, packen da gleich ein IDS+ Signaturenerkennung mit drauf!

Jedoch kann auch die beste HW-Firewall dich nicht gegen Zerodays in X beliebiger Software schützen,
es ist eher ein Backup-Schutz, mehr aber auch nicht!

grüße Razzor
 
Zuletzt bearbeitet:
Nehmen wir mal eine HW-Firewall die als ReversProxy das Netzwerk bedient, da wird sehr wohl der TCP/IP stream "gescaned";)
Ein Reverse-Proxy bedient aber nicht das hinter ihm liegende Netzwerk, sondern wird in der Regel von außen aufgerufen. Vielleicht meinst du einen "generischen" Proxy, der ausgehend von Adress- und Port-Regeln Daten zwischen WAN und LAN vermittelt. Hier wird allerdings nicht mittels Deep Packet Inspection in die Pakete reingeschaut, sondern stumpf der Traffic hin- und hergereicht.
Auch Https ist kein Problem wenn man das Hauptzertifikat auf den jeweiligen Clients installiert (von HW-Firewall// Server)
Das ist prinzipiell möglich, aber a) nicht ganz trivial einzurichten und b) streng genommen als Man-in-the-Middle-Angriff zu sehen, da man hier geschützten Traffic aufbricht und sich somit die Möglichkeit verschafft, auch sensible Inhalte wie Zugangs- oder Bankdaten mitzulesen.
Jedoch kann auch die beste HW-Firewall dich nicht gegen Zerodays in X beliebiger Software schützen,
es ist eher ein Backup-Schutz, mehr aber auch nicht!
Jein. 0-day-Exploits sind natürlich vom Prinzip her nur dann eine Gefahr, wenn die Software auch angesprochen werden kann. Viele Standardkonfigurationen machen irgendwelche Dienste übers Netz erreichbar - um die Jahrtausendwende herum war das allerdings noch ein wesentlich größeres Problem als heute. Damals quatschten alle möglichen Dienste munter ins Internet, wodurch man beispielsweise häufig ohne jede Authentifizierung auf fremde Netzwerkfreigaben zugreifen konnte. Eine dedizierte Firewall (ich traue Personal Firewalls nicht) hätte hier viel bewirken können.
Ich sehe eine dedizierte Firewall daher eher als "erste große Hürde" denn als Backup.

MfG Jimini
 
Zurück