Flash-Player für China mit Malware verseucht

[English]In China wird nach dem Ende des Flash-Supports ein Flash-Player auf einer Webseite angeboten, die sich laut Aussage von Sicherheitsforschern wie Adware verhält und Browserfenster öffnet, um Werbung anzuzeigen. Der Fall belegt, wie riskant der Download von Software von inoffiziellen Seiten geworden ist, auch wenn die auf flash[.]cn lauten.


Anzeige

Ich nehme den Fall mal hier im Blog auf, um zu zeigen, dass die Gefahren überall lauern. Denn die wenigsten Blog-Besucher/innen werden Bedarf an einem chinesischen Flash-Player haben. Aber einige suchen möglicherweise nach einem noch funktionierenden Flash-Player haben und könnten in ähnliche Fallen laufen.

Hintergrund: Flash Supportende

Die Flash-Technologie von Adobe ist am 31.12.2020 ganz offiziell aus dem Support gefallen. Das kommt aber keinesfalls überraschend, denn Adobe hatte ja bereits im Juli 2017, zusammen mit Technologiepartnern wie Microsoft,  angekündigt, dass der Adobe Flash Player nach Dezember 2020 nicht mehr unterstützt wird. Ich hatte im Blog-Beitrag Flash ist tot! Ab 2020 geht’s zu Ende … über diese Ankündigung berichtet. Und Microsoft hatte seinerzeit den Fahrplan zum Ausstieg aus Flash skizziert.

Ende 2020 wurde die Möglichkeit, Adobe Flash in Microsoft Edge und im Internet Explorer auszuführen, in allen unterstützten Versionen von Microsoft Windows entfernt. Gleichzeitig haben die Browser-Entwickler den Adobe Flash Player bzw. die Flash-Unterstützung aus Produkten wie Chrome, Edge oder Firefox rausgeworfen. Im Blog-Beitrag Microsoft: Flash Player ab Herbst entfernbar, ab 2021 Supportende hatte ich darauf hingewiesen, dass der Flash Player in 2021 durch kumulative Updates aus Windows werde (konkret gilt dies für Windows 8.1 bis Windows 10 samt den Server-Pendants und Windows Embedded 8 Standard).

Im Blog-Beitrag Update entfernt Flash zwangsweise aus Windows 10 hatte ich erwähnt, dass die Deinstallation des in Windows integrierten Flash Player jetzt angelaufen ist. Und Adobe hat mit dem letzten Update des Flash-Player einen Kill-Switch eingebaut, der diesen am 12. Januar 2021 deaktivierte. Also ist ein noch installierter Flash-Player seit diesem Datum funktionslos.

Andererseits setzen noch einige Programme und Anwender auf einen funktionierenden Flash-Player. Ich hatte im Blog-Beitrag HP Solution Center streikt wegen fehlendem Flash (Jan. 2021) drastisch aufgezeigt, wie das Flash-Ende jeden Nutzer eines HP Multifunktionsdruckers treffen kann. Und in China standen plötzlich Anfang Januar 2021 Züge wegen eines streikenden Flash-Players still (siehe China: Züge streiken nach Flash-Support-Ende zum 12.1.2021). Dort half man sich damit, eine ältere Version des Flash Player zu installieren und Updates zu verhindern. Im letztgenannten Beitrag wies Blog-Leser Steter Tropfen in diesem Kommentar darauf hin, dass einzelne Firmen weiterhin Flash nutzen und einen funktionierenden Player vertreiben können.

Chongqing Zhongcheng Network Technology Co. (…) is the official distribution partner for Adobe Flash Player in mainland China only. Adobe will support Zhongcheng’s exclusive distribution and maintenance of Flash Player within mainland China beyond 2020 for regional developers, enterprises, and end users running Flash-enabled content in applicable operating system environments or browsers.

Es dürfte daher langsam bei Chinas-Computer-Benutzern bekannt sein, dass man sich nur eine dieser Alternativen besorgen muss, um weiter Software, die auf Flash angewiesen ist, zu betreiben.

Die infizierte Flash-Version

In China gibt es eine Seite flash[.]cn, auf der ein Adobe Flash-Payer zum Download angeboten wird, der auch nach dem 12.1.2021 noch funktioniert. Hat jetzt jemand ausgenutzt, wie ich nachfolgendem Tweet sowie dem zugehörigen ZDNet-Beitrag von Catalin Cimpanu entnehmen konnte.

Warnung vor Flash-Download-Seite in China


Anzeige

Sicherheitsforscher warnen vor dem Download des Flash-Player von der Seite flash[.]cn, denn die Version die in China auch nach dem EOL noch über die Website vertrieben wird hat sich nun in Adware verwandelt und öffnet Browser in zeitlich festgelegten Intervallen und zeigt Werbung und Popups an.

Dem Sicherheitsunternehmen Minerva Labs ist aufgefallen, dass seine Produkte, die offensichtlich auf vielen chinesischen Systemen installiert sind, per Telemetrie entsprechende Sicherheitswarnungen im Zusammenhang mit dieser chinesischen Flash Player-Version empfingen. Bei der anschließenden Analyse stellten die Forscher fest, dass die App zwar eine gültige Version von Flash installierte, aber auch zusätzliche Nutzdaten herunterlud und ausführte. Die  kompromittierte Version lud die Datei nt.dll herunter und führte sie aus.

Anzeigen in China
(Quelle: Minerva Labs)

Diese Datei wurde innerhalb des Prozesses FlashHelperService.exe geladen und öffnete in regelmäßigen Abständen ein neues Browserfenster, in dem verschiedene werbe- und popup-lastige Websites angezeigt wurden. Der Fall zeigt mal wieder, wie riskant es ist, sich Software von einer inoffiziellen Seite herunter zu laden (wo selbst Herstellerseiten in Lieferkettenangriffen infizierte Software ausliefern).

Ähnliche Artikel:
Adobe Flash erreicht Supportende
Adobe Flash Player 32.0.0.465 – das ist das Ende
Microsoft: Flash Player ab Herbst entfernbar, ab 2021 Supportende
Update KB4577586 erlaubt Flash in Windows 8 – 10/Server zu entfernen
China: Züge streiken nach Flash-Support-Ende zum 12.1.2021
Der Internet Explorer zeigt das Ende des Flash-Supports an
HP Solution Center streikt wegen fehlendem Flash (Jan. 2021)
LibreOffice kickt Adobe Flash-Support
Flash: End of Life-Benachrichtigung; Internet-Archiv sammelt Flash-Animationen
Update KB4577586 erlaubt Flash in Windows 8 – 10/Server zu entfernen
Update entfernt Flash zwangsweise aus Windows 10


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Flash, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.