Malware-Verteilung bei der Ask-Toolbar

Wie die Sicherheitsforscher von Carbon Black berichten, waren unbekannte Hacker in der Lage, die Ask-Toolbar als Malware-Schleuder zu missbrauchen. Wie der Einbruch beim Internetportal Ask Partner Network (APN) im Detail stattgefunden hat, ist nicht bekannt. Man kann davon ausgehen, dass Hacker den Update-Prozess von den APN-Servern umgeleitet haben, um auf diesem Weg den Download eines Trojaners anzustossen. Diesen konnten die Hacker erfolgreich mit einem abgegriffenen APN-Zertfikat versehen, um den Nichtsahnenden die Malware als legitimes Update unterzujubeln.

Die Übergriffe sollen Ende 2016 und Anfang dieses Jahres stattgefunden haben. Das APN-Portal leitete nach eigenen Angaben zwar Gegenmassnahmen ein, war aber offensichtlich nicht imstande, das Netzwerk abzudichten. Den Sicherheitsforschern zufolge war der Trojaner, einmal installiert, dazu bemächtigt, auf infizierten Computern eine Hintertür zu öffnen. Die Angreifer hatten danach freies Spiel, weitere Malware nachzuladen, um etwa Zugangsdaten von Onlinekonten zu kapern. Besonders brisant: Weitere Angriffe konnten mit Systemrechten ausgeführt werden.

Carbon Black rät, die Systemprozesse nach APN-Einträgen mit Dateinamen wie apnmcp.exe zu durchforsten. Vor allem bei laufenden Netzwerkprozessen sollte man eventuell bei Verdacht einmal einen Blick in den Task-Manager (Ctrl+Shift+Esc bzw. Strg+Umschalt+Esc) werfen. Ein Indiz für einen Malware-Befall wären hier weitere Kindprozesse in Netzwerkdiensten, die mit der apnmcp.exe zusammenhängen. Am besten verbannen Sie – dazu raten wir – die Ask-Toolbar gleich komplett vom Rechner mittels Systemsteuerung/Programme und Features/Deinstallieren.

Für Kopfschmerzen sorgte die Ask-Toolbar in der Vergangenheit immer wieder beim Java-Installer, weil viele Anwender sich das unerwünschte Beigemüse durch zu schnelles Durchklicken des Installationsassistenten eingefangen haben. Es ist aber mittels Deaktivierung über das Java Control Panel möglich, Java auch ohne kostenlose Angebote anderer Hersteller zu installieren.