Webseiten-Massenhack richtet sich gegen Online-Spieler

Angreifer haben in mehrere zehntausend Webseiten einen Exploit für die aktuelle Lücke im Flash Player eingebettet. Bei den Webservern handelt es um Systeme auf Basis von Microsofts Internet Information Server und ASP.NET.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.

Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.

Durch die SQL-Injection-Schwachstelle waren (und sind) die Angreifer in der Lage, eigenen HTML-Code und JavaScript in die Datenbank des Content Management Systems (CMS) zu schreiben. Konkret betteten sie Code ein, der in einem iFrame einen Exploit für eine seit über einer Woche bekannte Lücke im Flash Player nachlädt. Darüber versuchen die Kriminellen, die PCs von Besuchern mit Trojanern zu infizieren. Der hat vermutlich zum Ziel, die Zugangsdaten zu asiatischen Spieleseiten wie aion.plaync.co.kr, aion.plaync.jp und df.nexon.com zu stehlen. Die Lücke im Flash Player ist in Version 10.1 geschlossen.

Bei ihrem Angriff gingen die Täter nach Angaben des Web-Application-Firewall-Herstellers (WAF) Armorize sehr geplant vor. Vor der eigentlichen SQL-Injection hätten Skripte zunächst nach möglichen verwundbaren Systemen gesucht, um sie dann später mit der Zero-Day-Exploit zu infizieren. Dabei seien laut Armorize auch Techniken zum Austricksen von Web-Application-Firewall eingesetzt worden.

Urheber der Angriffe soll vermutlich eine unter dem Namen dnf666 bekannte Gruppe aus China sein, die auch schon im März der Urheber einer größeren SQL-Injection-Attacke gewesen sein soll.

Siehe dazu auch:

(dab)