/ Security / EvilEye: Malware kapert Webcam, um Werbung zu personalisieren

EvilEye: Malware kapert Webcam, um Werbung zu personalisieren

EvilEye-6e68172cf003877c.jpeg
Moritz Rosenfeld an April 1, 2017 - 8:46 am in Security

Eine auf „EvilEye“ getaufte Spyware sucht per übernommener Webcam nach Produkten des Computernutzers, um ihm gezielt personalisierte Werbung anzuzeigen und daran zu verdienen. Perfide Nachahmer treiben die neue Angriffsmethode noch weiter.

Zwei US-Sicherheitsforscher haben einen Trojaner entdeckt, der die Webcam eines befallenen Rechners kapert und darüber gemachte Aufnahmen nutzt, um zielgerichtete Werbung anzuzeigen. „EvilEye“ filmt demnach durchgehend die über die Kamera einsehbare Umgebung des Rechners und lässt einen Algorithmus zur Bilderkennung in den Aufnahmen nach Produktlogos suchen. Die liefern Material für das weitere Vorgehen: Ausgehend von den erkannten Produkten injiziert die Software eigene Werbung (etwa für günstigere Alternativen oder weitere Produkte des Herstellers) in den Browser – die eigentlich ausgelieferte Werbung wird über einen mitgebrachten Ad-Blocker ausgefiltert.

Keine Hinweise von Opfern

Auf die Malware wurden die Forscher demnach nur über Umwege aufmerksam, direkte Hinweise von Betroffenen habe es nicht gegeben. Stattdessen sei man über eine Studie eines Werbedienstleisters gestolpert, in dem es um deutlich gestiegene Erfolgsquoten bei bestimmten Anzeigen ging. Anders als normalerweise ließen sich die aber nicht auf Anzeigenarten sondern auf bestimmte Kunden zurückführen. Unabhängig von der Art der ihnen angezeigten Onlinewerbung – ob Video, Pop-up oder Bannerwerbung – klickten die insgesamt deutlich häufiger als der Durchschnitt. Eine Erklärung fand sich in der internen Studie nicht, erst C-SEC Security fand das fehlende Puzzlestück.

Infiziert werden die (Windows-)Rechner demnach über eine der seit Jahren bekannten und nun wiedergekehrten Makro-Viren. Eine E-Mail in fehlerfreiem Englisch – und bei den ersten inzwischen auch auf Deutsch – verspricht günstige Flugreisen, aufgelistet in einem beigefügten Excel-Dokument. Aktiviert man darin auf die anfängliche Anfrage hin Makros, kapert EvilEye das System. Die Software aktiviert dann die Webcam, ohne dass dies für den Nutzer erkennbar ist. Fortan filmt sie die Umgebung und scannt grob nach Produkten aus einer Datenbank, die aus der Cloud aktualisiert wird. Zur gesonderten Analyse werden einzelne Bilder auch in die Cloud gesendet. Erkannt werden nicht nur stationäre Logos (etwa Geräte im Hintergrund), sondern auch durchs Bild getragene wie etwa auf Getränkeflaschen.

Hat das Programm eine erste Liste vorgefundener Produkte zusammengestellt, beginnen sich die Anzeigen, die der Nutzer zu sehen bekommt, merklich zu ändern. Sie scheinen deutlich relevanter zu werden und öfter Produkte zu zeigen, die im Haushalt sinnvoll wären. Gleichzeitig verschwinden beispielsweise jene für Produkte, die bereits gekauft wurden. Das gelingt der Malware durch konsequentes Blockieren jeglicher von den besuchten Internetseiten ausgelieferten Werbung. Die Analyse zeigt demnach, dass die Spyware nur Werbung anzeigt, die nach der Bilderkennung vorgeschlagen wurde. Für jeden Klick darauf werden einige Prozent der Vergütung abgezweigt – mutmaßlich an die verantwortlichen Cyber-Verbrecher. Die genauen Empfänger ließen sich aber nicht zurückverfolgen.

Perfide Nachahmer

EvilEye ist offenbar bereits seit Monaten im Einsatz. Das damit ergaunerte Geld reicht den Hackern aber wohl nicht, denn die Sicherheitsforscher fanden zuletzt Toolkits, die im Darknet zum Verkauf angeboten wurden. Perfide Nachahmer haben die Software danach erweitert und bald dürften noch tückischere Versionen ihr Unwesen treiben. Gefunden wurden Versionen, die den abgefilmten Malware-Opfern morgens Friseurwerbung anzeigte oder penetrant für Dating-Seiten warb – bei einer Betroffenen, direkt nachdem ihr Lebensgefährte mehrmals im Sichtbereich der Kamera aufgetaucht war. Erste Versionen werden zwar inzwischen von Antiviren-Programmen erkannt, aber aufgrund dieser Nachahmer dürfte solche Malware noch eine Weile ihr Unwesen treiben. (fab) / (mho)

Read more on: Source

Kommentare sind deaktiviert