Zehntausende Webseiten fallen Massenhack zum Opfer

Bei den Massenhacks betten Kriminelle JavaScripte in legitime Webseiten ein, um Besucher auf Server umzuleiten, die PCs mit Schädlingen infizieren.

In Pocket speichern vorlesen Druckansicht 252 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat. Dort versucht ein Server mit mehreren Exploits für den Internet Explorer, Firefox und QuickTime den PC des Besuchers zu infizieren. Der Server soll in der Ukraine beheimatet sein. Laut Websense ist die Erkennungsquote für den beobachteten Schädling noch relativ gering. Bislang sollen mehrere zehntausend legitime Webseiten manipuliert worden sein.

Wie es den Kriminellen gelang, ihren Code in die Seiten zu schleusen, ist noch nicht klar. Vermutlich nutzten sie SQL-Injection-Schwachstellen in Webanwendungen auf den Servern aus oder erspähten FTP-Zugangsdaten. Administratoren erkennen eine Infektion ihrer Webseite am stark "obfuszierten" JavaScript-Code. Einen Eindruck davon bekommt man im Original-Bericht von Websense.

Bereits seit Mitte Mai versucht eine andere Gruppe Krimineller auf ähnlichem Wege, Anwender zu infizieren. Dazu schreiben sie ihre verschleierten JavaScripte in HTML-Seiten. Bei dieser auch unter dem Namen Gumblar bekannt gewordenen Attacke manipuliert anschließend ein Trojaner die im Browser des Opfers angezeigten Ergebnisse einer Google-Suche, um auf weitere gefährliche Seiten zu lenken. Gumblar nutzt laut Berichten Lücken in Adobe Reader und Adobe Flash aus und kann weitere Webseiten durch das Ausspähen von FTP-Zugangsdaten selbstständig manipulieren. Der Gumblar-Attacke sollen laut ScanSafe ebenfalls mehrere zehntausend Webseiten zum Opfer gefallen sein.

Siehe dazu auch:

(dab)