Microsoft hat eine großangelegte Malvertising-Kampagne aufgedeckt, die bereits rund eine Million Windows-Geräte kompromittiert hat. Die Cyberkriminellen nutzen dabei ein ausgeklügeltes mehrstufiges Angriffssystem, das auf den Diebstahl sensibler Daten, Zugangsdaten und Kryptowährungen abzielt.
Ausgefeilte Angriffsstrategie über manipulierte Werbeanzeigen
Die Kampagne startete im Dezember 2024 mit der gezielten Platzierung manipulierter Werbeanzeigen auf illegalen Streaming-Plattformen wie movies7[.]net und 0123movie[.]art. Die Angreifer implementierten spezielle Umleitungsmechanismen und monetarisierten den generierten Traffic über Werbenetzwerke und Zahlungssysteme.
Technische Details der Malware-Verbreitung
Die Angriffskette beginnt mit bösartigen iframe-Elementen, die eine Kaskade von Weiterleitungen über verschiedene Zwischenstationen initiieren. Als Endpunkte dienen GitHub-Repositories mit schädlichen Komponenten, wobei auch populäre Plattformen wie Discord und Dropbox als Verteilungskanäle missbraucht werden.
Komplexe Infektionskette und Schadcode-Deployment
Nach der initialen Infektion sammelt die Malware technische Informationen vom Zielsystem, deaktiviert Sicherheitssoftware und etabliert Verbindungen zu Command-and-Control-Servern. Besonders besorgniserregend ist der Einsatz gültiger digitaler Signaturen – Microsoft identifizierte und widerrief bereits 12 kompromittierte Zertifikate.
Weitreichende Auswirkungen und Datendiebstahl
Die Angriffe zielen unterschiedslos auf Privatpersonen und Unternehmen. Als primäre Werkzeuge kommen der Lumma-Stealer sowie dessen Open-Source-Variante Doenerium zum Einsatz. Diese Malware ist speziell darauf ausgerichtet, Browser-Daten wie Cookies, Passwörter und Browserverlauf zu extrahieren sowie Kryptowährung-Wallets verschiedener Anbieter (Ledger Live, Trezor Suite, KeepKey) zu kompromittieren.
Diese massive Malvertising-Kampagne unterstreicht die zunehmende Sophistikation cyberkrimineller Aktivitäten und die wachsende Bedrohung durch manipulierte Werbeanzeigen. Zum Schutz vor solchen Angriffen empfehlen Sicherheitsexperten die Implementation mehrschichtiger Sicherheitsmaßnahmen: Regelmäßige Software-Updates, der Einsatz vertrauenswürdiger Werbeblocker sowie die konsequente Nutzung von Multi-Faktor-Authentifizierung für kritische Dienste sind dabei essentiell. Zusätzlich sollten Nutzer verstärkt auf die Vertrauenswürdigkeit besuchter Websites achten und verdächtige Werbeanzeigen grundsätzlich meiden.
