Trustwave: CVE-2014-0515 macht sich auf den Weg zur WM nach Brasilien
Die FIFA Fußballweltmeisterschaft startet am 12. Juni 2014 und der Enthusiasmus über dieses Ereignis zeigt sich in einem deutlichen Ansteigen des Datenverkehrs auf verschiedensten Sportseiten auf der ganzen Welt. Mit der Zunahme des Datenverkehrs auf bestimmten Webseiten können sie darauf wetten, dass auch die Cyberkriminellen Mittel und Wege finden werden, von diesem Ereignis und dem erhöhten Besucheraufkommen im Internet zu profitieren. Datenverkehr kann auch in direktem Bezug zu Geld gesetzt werden – und Trustwave konnte ein gefährliches Werbebanner entdecken, das darauf abzielt, Geld mit dem gestiegenen Datenverkehr auf lancenet(.)com(.)br zu verdienen – der Webseite der Brasilianischen Sportzeitschrift Lancel.
Vor etwa einem Monat hat Kaspersky über einen Exploit berichtet, der eine Zero-Day Schwachstelle im Adobe Flash Player (CVE-2014-0505) missbraucht. Die Trustwave Spider Labs konnten auch Angriffsversuche bei Kunden von Trustwave beobachten, diese Zero-Day Schwachstelle zur Installation von Malware zu verwenden. Nach weiteren Analysen dieser Angriffsversuche haben die Trustwave SpiderLabs die Ursache dieser Angriffe – die gefährliche Werbeanzeige auf der Brasilianischen Webseite – entdeckt.
Der Werbebanner-Betreiber dieser Seite leitet die Nutzer auf “ib(.)adnxs(.)com” weiter – einer Domain, die für frühere Malvertising Kampagnen bereits bekannt ist. Die Webseitenbetreiber von Lancel wurden über diesen Tatbestand informiert und arbeiten daran, das Problem zu beheben.
Die Beispiele, die die Trustwave SpiderLabs beobachten konnten, wurden auf einen öffentlichen Service für SWF Hosting (www(.)swfcabin(.)com) platziert. Diese Kampagne ist offensichtlich gerade in Arbeit, da die Trustwave SpiderLabs neue Beispiele analysieren konnten, die nun einen Schutz vor einer Decompilierung des ActionScript Codes mit Hilfe des “SWF Defender´s” (ein kommerzieller Code-Verschleierer für SWF Dateien) enthielten. Die älteste Probe, die analysiert werden konnte, stammte vom 14. Mai 2014, die neueste Probe vom 22. Mai 2014.
Die Trustwave SpiderLabs konnten zudem beobachten, dass die Angreifer nicht nur einfach den Originalcode immer wieder verwenden. Die Angreifer hinter dieser Kampagne versuchen die bereits bekannte und weitverbreitete Technik der Korrumpierung des AS Vektor Größenwertes auszunutzen, um den gesamten Adressbereich auslesen zu können. Im Gegensatz zur ursprünglichen Probe der CVE-2014-0515, bei der die Angreifer das Sound Object vftable korrumpiert haben, nutzen die Angreifer nun ein FileReference Objekt.
Weitere Diskussionen zu gefährlichen URLs finden sie hier: http://pastebin.com/TfgnyE0K
Alle Nutzer von Trustwave SWG sind vor dieser Bedrohung ohne zusätzliche Updates geschützt.
Quelle: Trustwave SpiderLabs – Autor: Arseny Levin und Ben Hayak
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper® Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com
