Nuclear Exploit-Kit mit Google Ads ausgeliefert
Googles Werbebanner lieferten für mehrere Stunden ein gefährliches Exploit-Kit aus, das die Rechner vieler nichtsahnender Opfer mit Schadcode infiziert haben könnte.
- Fabian A. Scherschel
(Bild: Fox-IT)
Eine "große Zahl" von Google-Ads-Bannern hat am Dienstag für mehrere Stunden Besucher auf eine Seite weitergeleitet, die deren Rechner unter Umständen mit einem Exploit-Kit infiziert hat. Wie die Sicherheitsfirma Fox-IT berichtet, stammten die Banner vom bulgarischen Reseller EngageLab. Nachdem Fox-IT die IP-Adressen der Schadcode-Server an Google weitergegeben hatte, stellten die Sicherheitsforscher am späten Abend fest, dass EngageLab keine Anfragen mehr an die bösartigen Webseiten weiterleitete. Ob EngageLab selbst Opfer eines Angriffs wurde, um die bösartige Werbung zu platzieren, ist noch nicht bekannt.
Das perfide an einem Angriff dieser Art ist, dass Nutzer Schadcode von Seiten ausgeliefert bekommen, denen sie eigentlich vertrauen. Der Seitenbetreiber, der seinerseits die Werbung eines vertrauenswürdigen Partners wie Google einbindet, wird ebenfalls überrascht, wenn plötzlich Schadcode eingebettet wird. Auf technischer Ebene leitet Google allerdings nur Inhalte des Werbepartners – in diesem Fall EngageLab – durch. Auf deren Servern befand sich wohl ein iFrame mit einem Link zu dem Exploit-Kit in der Werbung.
Bei dem ausgelieferten Schadcode handelte es sich um das Exploit-Kit Nuclear, welches offene Lücken in Flash, Java und Silverlight missbraucht, um Trojaner auf dem Windows-Rechner des Opfers zu installieren. Welche Bösewichte genau eingeschleust wurden, lässt sich nicht sagen – der Drahtzieher, der das Exploit-Kit einsetzt, hat da quasi die freie Wahl. Solche Exploit-Kits passen sich sehr schnell an die neuesten offenen Lücke an, deren Käufer können die Software oft nach eigenen Wünschen anpassen. (fab)
