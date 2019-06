Wer unter Windows 10 Apps aus dem Microsoft Store verwendet, muss derzeit vermehrt mit schädlichen Werbeeinblendungen – so genanntem Malvertising – aus dem Kontext dieser Anwendungen rechnen.

Wie aus einem deutschsprachigen Sicherheitshinweis von Microsoft hervorgeht, geschieht das Malvertising über Werbebanner externer Werbenetzwerke. Per Redirect in einem separaten Browserfenster landen die App-Nutzer auf Betrugs-Webseiten. Diese sind teilweise im typischen Microsoft-Design gestaltet, was (gerade aus einer Windows-10- App heraus) zu falschem Vertrauen seitens der Opfer führen könnte.

Die Webseiten täuschen laut Microsoft entweder vor, dass der App-Nutzer einen Preis gewonnen habe – oder sie zeigen gefälschte Warnmeldungen an, denen zufolge der PC mit Viren verseucht sei. Das Ziel dieser (und auch möglicher weiterer) Maschen ist letztlich, das Opfer zur Interaktion mit der Webseite zu animieren.

Fenster schließen und keinesfalls klicken

Betroffene sollten im Hinterkopf behalten, dass die gefälschten Warnhinweise im Browser – auch wenn sie möglicherweise einen anderen Eindruck vermitteln – nicht von bereits auf dem PC vorhandener Malware herrühren. "Solange man die Fenster einfach schließt, ohne eventuelle Fragen zum Starten von Scans oder zum Abholen von Gewinnen zu bestätigen, ist die Sache folgenlos", schreibt Microsoft.

Betrugs-Webseiten: Schadcode-Verteilung nach wenigen Klicks



ReimageRepair.exe tarnt sich als "Reparatur-Software". (Bild: any.run )

Schlimmer kann der versehentliche Besuch einer solchen Webseite allerdings enden, wenn man sich doch zum Klicken verleiten lässt. In einem zweiten, englischsprachigen Sicherheitshinweis verweist Microsoft auf den VirusTotal-Scan einer Datei, die nach erfolgter Interaktion von einer der Betrugs-Webseiten heruntergeladen wurde.

Bei der Datei, die unter anderem unter den Bezeichnungen ReimageRepair.exe, reimagerepair.exe und ALWINNER.exe an den Scandienst übermitelt wurde, handelt es sich offensichtlich um Schadcode. Derzeit wird er noch nicht von vielen Virenscannern erkannt – übrigens auch nicht vom Windows Defender.

Es ist wahrscheinlich, dass sich auf den Betrugs-Webseiten noch weiterer Schadcode tummelt. Microsoft rät Nutzern dazu, sie über den Browser als betrügerische Webseiten zu melden. Einige würden auch bereits vom Windows SmartScreen Filter erkannt.

Die Lösung: Betroffene Apps meiden, Werbenetzwerke blocken

Bis die Betreiber der betroffenen Werbenetzwerke – genannt werden die Domains *.adnxs.com *.nuxues.com und *.vungle.com – die Situation wieder "im Griff hätten", rät Microsoft Nutzern dazu, "die entsprechenden Apps einfach nicht zu nutzen".

In welchen Apps Werbung über die genannten Netzwerke ausgespielt werden, geht aus dem Beitrag allerdings nicht klar hervor. Erwähnt werden (unter anderem auch in den Kommentaren unterhalb der Sicherheitshinweise und in Leserzuschriften an heise Security) die Apps MSN Weather/Wetter, News und Money, die Microsoft Solitaire Collection sowie Microsoft Mahjong.

Ein zweiter Ratschlag Microsofts besteht darin, *.adnxs.com *.nuxues.com und *.vungle.com via Adblocker im Browser zu blocken. Damit erst gar kein Redirect aus den Apps heraus erfolgt, wäre allerdings eine Werbeschranke auf DNS-Ebene (etwa mit Pi-hole) nötig.

