Sichere Anwendungen lassen Exploit-Kits vertrocknen

Unit 42, das Anti-Malware-Team von Palo Alto Networks, beobachtet einen signifikanten Rückgang bei Exploit-Kits. Auffällig ist dies besonders beim zuvor häufig genutzten 'Rig'. Warum sind Exploit-Kits nicht mehr so aktiv wie früher und was ist in der globalen Landschaft der Cyberbedrohungen als nächstes zu erwarten? Diesen Fragen ist Palo Alto Networks nachgegangen.

Droht Exploit-Kits eine Dürre? Unter anderem die gestiegene Popularität von Chrome sorgt offenbar für mehr Sicherheit.

Rig kam zuvor in zwei großen Kampagnen – EITest und Pseudo-Darkleech – monatelang zum Einsatz. Obwohl die Forscher vpn Palo Alto Networks [1] das Rig-Exploit-Kit nach wie vor in anderen Kampagnen wie RoughTed oder Seamless finden, sind die jüngsten Levels am niedrigsten seit Beginn der Beobachtung durch Palo Alto Networks. Rig ist den Forschern zufolge jedoch nicht das einzige Exploit-Kit, das rückläufig ist, alle Exploit-Kits sind betroffen.



Ein wichtiger Faktor ist dabei, dass die Zieloberfläche für Exploit-Kits zusehends kleiner wird. Exploit-Kits machen sich in der Regel browserbasierte Schwachstellen zunutze, die auf Windows-Systeme abzielen. Sie konzentrieren sich hauptsächlich auf Internet Explorer, Microsoft Edge und Adobe Flash Player. Gegen beliebte Browser wie Chrome, ein Produkt, das allein in diesem Jahr bereits vier Hauptversions-Updates erhalten hat, sind Exploit-Kits weitgehend ineffektiv.



Die Nutzung alternativer Browser hat somit die Anzahl der möglichen Ziele für aktuelle Exploit-Kits stark reduziert. Ein Mangel an neuen Exploits und die jüngsten Bemühungen der Sicherheitscommunity, das Domain-Shadowing zu bekämpfen, haben ebenso zu einem allgemeinen Rückgang der Exploit-Kit-Aktivitäten maßgeblich beigetragen.



Neue Betrugsmaschen

Manche Cyberkriminelle haben sich von Malware auch völlig abgewandt und konzentrieren sich auf scheinbar lukrativere Aktivitäten. Zum Beispiel setzt die EITest-Kampagne neuerdings auf die Verbreitung von Tech-Support-Scams. Die Aktivitäten scheinen derzeit standortbezogen zu sein, da sie bislang auf die USA und Großbritannien zielten. Diese spezielle Kampagne nutzt auch Audio-Botschaften, um kontinuierlich die gleichen Informationen zu verbreiten.



Betroffene können dabei nicht einfach auf "OK" klicken oder den Browser schließen, denn die Fenster werden sofort wieder angezeigt. Den Browser zu schließen und die Audio-Botschaft zu stoppen, gelingt nur über den Task-Manager, indem der Browser-Prozess beendet wird. Diese Tech-Support-Scams haben sich bereits als so erfolgreich erwiesen, dass sie jetzt zu einem konstanten Merkmal der aktuellen Bedrohungslandschaft geworden sind. Die EITest-Kampagne verbreitet die Tech-Support-Scams seit über einem Monat.



Obwohl die Aktivitätsniveaus der Exploit-Kits niedrig sind, sind immer noch Indikatoren von Rig oder auch Magnitude täglich zu beobachten. Exploit-Kits sind mittlerweile jedoch ein relativ kleiner Faktor in der heutigen Bedrohungslandschaft – im Vergleich zu Social-Engineering-Systemen und Malspam. Benutzer, die die besten aktuellen Sicherheitspraktiken befolgen, minimieren die Gefahr, von Exploit-Kit-Bedrohungen betroffen zu sein.