Eine Erklärung, warum sich die Ransomware Locky seit ein paar Tagen rasant über Soziale Medien und dort besonders stark über Facebook ausbreitet, haben jetzt die Sicherheitsforscher von Checkpoint gefunden: Die Kriminellen nutzen danach bei ihren Angriffen eine Fehlkonfiguration in der Infrastruktur der Dienste aus. So ist es möglich, dass deren Nutzer, wenn sie ein Bild eigentlich nur betrachten wollen, dazu aufgefordert werden, es herunterzuladen, weil sie es online nicht sehen können…
Bilder und Malware kommen via ImageGate
Durch diese Lücke, die der Checkpoint-Experte ImageGate nennt, lassen sich Bild- und Grafikdateien mit eingebetteter Malware auf den Rechner des Opfers schaffen. Checkpoint hat sowohl Facebook als auch LinkedIn schon Anfang September über diese Schwachstelle informiert. Detaillierte technische Informationen zum Angriffsvektor will Checkpoint aber erst öffentlich bekannt machen, wenn die Schwachstelle in den wichtigsten betroffenen Sozialen Medien beseitigt ist.
Der weitere Verlauf der Locky-Infektion
Wenn die Locky-Ransomware mit der Bilddatei zusammen übertragen und dann automatisch installiert wurde, verschlüsselt sie alle Dateien auf dem Gerät – und wie üblich wird dann die Zahlung von Lösegeld für die Entschlüsselung verlangt.
„Cyberkriminelle wissen, dass diese Seiten normalerweise auf der ‚Positivliste‘ stehen, und aus diesem Grund sind sie kontinuierlich auf der Suche nach neuen Techniken, mit denen sie die Sozialen Medien als Hosts für ihre böswilligen Aktionen nutzen können“, erklärt der Leiter Products Vulnerability Research bei Checkpoint Oded Vanunu in einer Pressemitteilung.
Vermeiden der Infektion mit Locky
Die Sicherheitsexperten raten Nutzern, falls sie bei Facebook oder anderen Sozialen Netzwerken ein Bild angeklickt haben und der Browser daraufhin damit beginnt, eine Datei herunterzuladen, diese auf keinen Fall zu öffnen.
Wenn alles mit rechten Dingen zugeht, sollten die Webseiten der Sozialen Medien das Bild anzeigen, ohne dazu eine Datei herunter zu laden. Insbesondere sollte man sich davor hüten, eine Bilddatei mit „ungewöhnlicher Dateinamenerweiterung“ (wie beispielsweise SVG, JS oder HTA) zu öffnen.
