Firefox-Botnetz geht auf Exploit-Safari

Mozilla hat ein schädliches Add-On für Firefox neutralisiert, welches die Browser der Opfer dazu missbraucht, besuchte Seiten nach SQL-Injection-Schwachstellen abzusuchen. Das Advanced-Power-Botnetz hat so mindestens 1800 anfällige Seiten gefunden.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Screenshot des Bot-Kontrollzentrums mit entdeckten verwundbaren Seiten rechts im Bild

(Bild: Brian Krebs)

Ein seit mindestens Mai agierendes Botnetz hat über 1800 Webseiten entdeckt, die anfällig für SQL-Injection-Angriffe sind. Zum Mitglied in dem Botnetz wird man durch Installation eines Add-Ons für Firefox. Nach der Infektion testet der Schadcode verdeckt besuchte Webseiten und meldet Schwachstellen an die Drahtzieher des von seinen Betreibern "Advanced Power" genannten Botnetzes.

SQL-Injection-Angriffe nutzen Lücken in Web-Applikationen, um Befehle direkt an die Datenbank der Webseite zu senden und so wichtige Daten auszulesen, welche die Ganoven verkaufen oder für weitere Angriffe nutzen können.

Der von dem Add-On installierte Schadcode enthält außerdem ein Modul, das auf den infizierten Computern Passwörter und persönliche Daten stehlen kann. Untersuchungen des Sicherheitsexperten Brian Krebs zu Folge wurde diese Komponente aber bisher nicht aktiviert. Weltweit sollen mehr als 12.500 PCs mit der Malware infiziert sein. Das Firefox Add-On gibt vor, einen "Microsoft .NET Framework Assistant" installieren zu wollen – allerdings wird in Wirklichkeit nur der Schadcode installiert und der Rechner des Opfers reiht sich in das Botnetz ein.

Mozilla hat das schädliche Add-On mittlerweile aus seinem Add-ons-Manager entfernt. (fab)