Caphaw-Trojaner in YouTube-Anzeigen gefunden

  • 25. Februar 2014
  • 2 min Lesezeit

youtube-logoLetzten Freitag sind Analysten bei Bromium Labs – überschattet von der Entdeckung zweier Zero-Day-Exploits in Internet Explorer und Adobe Flash – auf Malware in einem Werbenetzwerk gestoßen, das in Verbindung mit YouTube steht.  Genaueres ist noch nicht bekannt, und die Bedrohung ist noch vollständig zu entschärfen.  Am Freitag wurde Google Security auf dieses Problem hingewiesen; dort untersucht man zur Zeit die Sicherheitslücke zusammen mit Bromium.

Bekannte Fakten

Bei der Malware handelt es sich um den Banking-Trojaner Caphaw.  Emsisoft erkennt Trojaner dieser Familie als Trojan.Win32.Caphaw.

Die Angreifer infizieren YouTube-Nutzer durch YouTube-Werbung Dritter mittels Drive-by-Downloads.

Weitere Untersuchungen haben ergeben, dass das Werbenetzwerk, dessen sich Caphaw bedient, ebenso dem Styx-Exploit-Kit dient.  Ein Exploit-Kit ist ein Toolkit, das Hacker einsatzbereit käuflich erwerben und dann auf bösartigen Websites platzieren können, die sich dann auf verbreitete Sicherheitslücken auf nicht aktualisierten Computern stürzen.  Das Styx-Exploit-Kit zielt insbesondere auf Sicherheitslücken in Java ab.  Recherchen legen nahe, dass bei diesem Styx-Angriff auf die Sicherheitslücke CVE-2013-2460 abgezielt wird.

Ebenso gibt es Anzeichen dafür, dass dieser Angriff Nutzer mit einem C&C-Server in Europa verbindet.  Bislang ist der genaue Standort dieses Servers noch unbekannt.

Bin ich betroffen?

Jeder Emsisoft Nutzer ist automatisch gegen Caphaw geschützt.  Nutzer ohne umfassenden Schutz durch entsprechende Antivirus-Software, die kürzlich auf eine YouTube-Werbeanzeige geklickt haben, könnten betroffen sein.

Der Caphaw-Trojaner erlaubt es den Angreifern ebenso, Ihren PC fernzusteuern.  Somit können Sie direkt auf Ihre Dateien zugreifen, Ihre Internetnutzung überwachen oder Ihren PC zu einer Vielzahl bösartiger Aktivitäten einsetzen.

Sollten Sie kürzlich auf eine YouTube-Werbeanzeige geklickt haben, empfiehlt Emsisoft Ihnen, Ihren PC umgehend mit Emsisoft Anti-Malware zu scannen.  Die Software entdeckt und entfernt Caphaw und schützt Ihren PC gegen zukünftige Angriffe.

Weitere Details zu dieser Bedrohung

Bromium hat eine erste Analyse des Angriffs in einem Blogpost am Freitag veröffentlicht.  Die Analysten arbeiten momentan mit Google Security zusammen, um den Angriff eingehender zu untersuchen.  Neuigkeiten hierzu wird es gewiss geben.

Angriffe auf eine viel besuchte Website wie YouTube sind ein sogenannte Wasserlochtaktik.  YouTube hat Tausende, wenn nicht gar Millionen Besucher pro Tag, weshalb derartige Angriffe potenziell weitaus mehr Nutzer infizieren können.  Man wägt sich oft in falscher Sicherheit beim Besuch solcher Websites, da die Sicherheitsvorkehrungen dort in der Regel viel strikter sind und die Wahrscheinlichkeit, unter so vielen Besuchern betroffen zu sein, viel geringer sind, aber dabei handelt es sich um eine Fehlwahrnehmung.  Vom Standpunkt eines Angreifers kann es sich viel rentabler erweisen, ein großes Wasserloch zu vergiften, als Hunderte kleiner Wasserstellen, was viel zeitaufwändiger wäre.

Dieser jüngste Angriff ist ein ziemlicher Denkzettel.  Keine Website ist 100% sicher.  Und ob nun in bösartiger Absicht oder nicht, Internet-Werbung dient der Erzeugung von Gewinnen.  Lassen Sie beim Klicken also Vorsicht walten.

Wir wünschen Ihnen eine schöne (Malware-freie) Woche!

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel

Leserkommentare