BetrĂĽger missbrauchen Suchfunktionen bekannter Webseiten
Durch den Missbrauch der Suchfunktion von ZDnet Asia und TorrentReactor leiten BetrĂĽger Anwender auf Seiten um, die vorgebliche Antivirenprogramme und Videocodecs zum Download anbieten.
- Daniel Bachfeld
Kriminelle haben Berichten zufolge die Suchfunktion von ZDnet Asia und TorrentReactor missbraucht, um IFrames in Suchergebnisse einzubetten, die auf Webseiten mit Malware zeigen. Dabei erscheint der IFrame als Teil des Links zum Google-Ergebnis. Beim Anklicken des Links öffnet sich dann allerdings nicht die vorgeblich bekannte Seite von ZDnet oder TorrentReactor. Vielmehr wird das Opfer auf die im IFrame angebene Seite umgeleitet. Dort werden dann Antivirenprogrammen oder Video-Codecs zum Download angeboten, in denen allerdings der Trojaner Zlob stecken soll.
Die Seiten von ZDnet und TorrentReactor selbst sind in keiner Weise kompromittiert. Die Angreifer machen sich aber offenbar zunutze, dass die Seiten zum Optimieren ihres Google-Rankings jede Sucheingabe lokal cachen und Redirects unterstützen. Der Sicherheitsspezialist Dancho Danchev hat eine detailierte Analyse des Problems in seinem Blog veröffentlicht. Seinen Angaben zufolge füttern die Betrüger die Suchfunktionen mit beliebten Begriffen und den IFrames, so dass diese später bei Google als zusammenhängendes Ergebnis erscheinen. Zeitweilig sollen mehr als 20.000 Suchtreffer auf ZDNet Asia die Umleitung per IFrame enthalten haben.
Siehe dazu auch:
- ZDNet Asia and TorrentReactor IFRAME-ed, Beschreibung von Dancho Danchev
- ZDNet Asia Compromised?, Bericht von F-Secure
(dab)