Kriminelle missbrauchen vermehrt harmlose Webseiten für Angriffe auf Anwender

Dass Viren und Würmer auch über präparierte Webseiten durch Lücken im Browser auf einen Windows-PC gelangen können, dürfte sich langsam herumgesprochen haben. Überraschend ist allerdings die Feststellung von Websense in seinem neuesten Security Threat Report, dass es sich bereits bei jeder zweiten derartigen Seite um eine gehackte Internetpräsenz handelt, die eigentlich ganz harmlose Inhalte ausliefern soll. In den vergangenen Jahren musste man für derartige, auch Drive-by-Downloads genannte Infektionen noch mehr oder minder dubiose Seiten aufrufen. Vielfach lautete der Ratschlag, dass sich Infektionen verhindern ließen, wenn man nur bekannte oder vertrauenswürdige Seiten ansurft.

Damit ist es nun vorbei, unter anderem zeigte sich schon bei den größeren Angriffen auf Anwender im Sommer 2007, dass auch der Besuch von Touristik-, Immobilien und Shop-Seiten gefährlich sein kann, wenn man mit einem löchrigen Browser unterwegs ist. Zuletzt gab es Anfang Januar 2008 eine größer angelegte Attacke, bei der sogar gehackte Server von US-Behörden und Universitäten für das Verteilen von Malware missbraucht wurden. Der Vorteil liegt laut Websense für die Kriminellen auf der Hand: Die Seiten besitzen meist eine gewisse Reputation und eine ausreichende Zahl von Stammnutzern.

Zu den Seiten wird meist nur ein einziger IFrame hinzugefügt, der von einem "Mutterschiff" weiteren Schadcode nachlädt. Dazu brechen die Kriminellen beispielsweise über eine Lücke in der Konfigurationssoftware eines Massenhosters, etwa cPanel, in die Präsenzen ein. Alternativ leiten sie im Rechenzentrum den HTTP-Verkehr einiger Server mittels ARP-Spoofing auf einen gehackten Server um und bauen in die ursprünglichen HTTP-Antworten den IFrame ein.

Auch über manipulierte Werbebanner von geknackten Ad-Servern wird immer öfter versucht, Besucher zu infizieren. Zwar nutzen die Kriminellen für ihre Angriffe vermehrt Tools wie das Web-Attack-Toolkit MPack, laut dem Report von Websense werden präparierte Webseiten aber zum größten Teil immer noch per Hand erstellt.

Websense hält in seinem Report eine weitere Überraschung parat: Im Dezember 2007 schwoll der chinesische Anteil an Seiten mit so genannter Crimeware von 8 auf 46 Prozent an. Dafür ging der Anteil US-amerikanischer Crimeware-Seiten von 69 auf 23 Prozent zurück. Was diese extreme Verschiebung verursacht hat, lässt der Report allerdings offen – eine Anfrage von heise Security an Websense ist allerdings gestellt.

Der komplette Report soll in Kürze auf den Seiten von Websense zum Download bereitstehen. (dab)