Groß angelegter Angriff auf Web-Anwender im Gange [Update]

Mehr als 10.000 europäische Server sollen gehackt worden sein und nun einen IFrame enthalten, der Schadcode von einem Malware-Server nachlädt. Tausende Anwender sollen ihre PCs bereits infiziert haben.

In Pocket speichern vorlesen Druckansicht 263 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische, vornehmlich italienische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server für Touristik, Hotels, Auto und Kino handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt.

Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt.

Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

Update
Ein im Blog von Trend Micro veröffentlichter Screenshot verdeutlicht, wie ein IFRAME aussehen kann, der auf einen MPACK-Server zeigt. Anwender sollten ihre Seiten gegebenenfalls auf ähnliche Einträge hin untersuchen und diese entfernen. Zudem ist die Manipulation ein Hinweis darauf, dass es im System eine Sicherheitslücke gibt, über die ein Angreifer jederzeit wieder eindringen kann. Dazu sind weitere Analysen notwendig.

Siehe dazu auch:

(dab)