Massenhacks von Webseiten werden zur Plage
Aktuell versuchen Angreifer, auf PCs von Besuchern die DNS-Einstellungen auf Nameserver zu verbiegen, die unter der Kontrolle vonr Kriminellen stehen.
- Daniel Bachfeld
Kriminelle führen derzeit mehrere Massenhacks durch, um die PCs von Anwendern mit Malware zu infizieren. Eines der Ziele ist dabei nach Angaben des Bloggers Dancho Danchev, die DNS-Einstellungen infizierter Windows-PCs auf Nameserver zu verbiegen, die unter der Kontrolle der Kriminellen stehen. Die IP-Adressen weisen offenbar in das digitale Aquivälent von Tolkiens Mordor: das Russian Business Network (RBN).
Mit derartigen Pharming-Attacke können die Betrüger zu einer Namensanfrage jede beliebige IP-Adresse zurückliefern und ihre Opfer etwa auf Phishing-Seiten umleiten. Gegen diese Art von Angriffen helfen weder Bookmarks noch die manuelle Eingabe der gewünschten URL im Browser.
Die Angreifer nutzen für ihren Trick die Eigenheiten der Suchfunktionen vieler Webseiten, Anfragen zu cachen, um ein höheres Google-Ranking zu erzielen. Damit ist es möglich, dass in den Google-Suchergebnissen zusätzliche IFrames eingebettet sind, die beim Aufruf des Suchergebnisses im Browser geladen werden. Die Opfer landen dann nicht mehr auf der vermeintlich bekannten Seite, sondern auf einer Seitem, die etwa Videocodecs oder Antispyware verspricht. Darin steckt dann der Trojaner Zlob, der die DNS-Einträge manipuliert. Zuerst fielen Seiten wie ZDnet Asia dieser Manipulation der Suchfunktion zum Opfer. Mittlerweile sollen viele weitere Seiten hinzugekommen sein, darunter Webauftritte von Universitäten und US-Behörden.
McAfee berichtet unterdessen von Massenhacks, bei denen Angreifer statt eines IFrames ein JavaScript in Seiten einbetten. Der Blogeintrag des Herstellers von Antivirenprodukten lässt aber offen wie die Angreifer das JavaScript in die Seiten injizieren. Allerdings soll es sich bei den manipulierten Seiten in der Mehrzahl um Seiten handeln, die auf phpBB beruhen. Seit dem Beginn der Attacken vor über einer Woche seien fast 200.000 Seiten kompromittiert worden. Dazu würden seit wenigen Tagen auch Seiten mit Active Server Pages (ASP) angegriffen, um deren Besucher zu infizieren.
Zuletzt gab es Anfang Januar 2008 eine größer angelegte Attacke, bei der ebenfalls gehackte Server von US-Behörden und Universitäten für das Verteilen von Malware missbraucht wurden. Der Vorteil für die Kriminellen liegt auf der Hand: Die Seiten besitzen meist eine gewisse Reputation und eine ausreichende Zahl von Stammnutzern. Es bietet mittlerweile keinen Schutz mehr, wenn man nur noch bekannte oder vertrauenswürdige Seiten ansurft. Viele Hersteller von Antivirenprodukten implementieren in ihre Produkte zusätzliche Schutzmaßnahmen vor ungewollten Drive-By-Downloads, um der Bedrohung entgegenzuwirken.
Siehe dazu auch:
- More High Profile Sites IFRAME Injected, Beschreibung von Dancho Danchev
- Follow Up To Yesterday’s Mass Hack Attack, Blogeintrag von McAfee
- Wieder groß angelegte Angriffe auf Web-Anwender im Gange, Meldung auf heise Security
- Kriminelle missbrauchen vermehrt harmlose Webseiten für Angriffe auf Anwender, Meldung auf heise Security
(dab)
