News

Die Google-Variable

Drive-by Downloads haben sich im Laufe des Jahres 2008 mehr und mehr verbreitet. Da sich Webmaster immer mehr der wachsenden Sicherheitsprobleme bewusst werden, sind Cyber-Kriminelle ständig auf der Suche nach neuen Techniken, um sicherzustellen, dass ihre Schadprogramme so lang wie möglich überleben.

Und was wäre einfacher, als Google dafür zu nutzen? Heutzutage nutzt jeder Google – warum also sollte es ausgerechnet bei Virenschreibern anders sein? In letzter Zeit haben wir zunehmend Attacken registriert, die nach dem folgenden Muster arbeiten.

Die Schadprogrammschreiber starten zunächst eine Google-Suche, um beliebte Webseiten zu identifizieren. Die beliebtesten Seiten, die sich aus der Suche ergeben, werden dann einem Penetrationstest unterzogen, um Schwachstellen zu ermitteln. Die anfälligsten Webseiten werden dann kompromittiert, und um ihre Spuren zu verwischen, fügen die Schadprogrammschreiber den kompromittierten Seiten dann keinen Code in Form von neuen Dateien, ja nicht einmal verschleierten Code hinzu. Stattdessen modifizieren Sie einfach Skripts, die bereits auf den kompromittierten Seiten ausgeführt werden. In diesem Fall, enthalten die neuen Parameter, die dem bestehenden Skript hinzugefügt werden, die folgende Funktion: (–referer=http://www.google.com/).

Diese Funktion prüft, woher der Besucher der infizierten Seite gekommen ist. Wenn die Verbindung über einen Link in einer Google-Suche zustande kam, wird der Besucher automatisch zu einer Reihe von infizierten Webseiten weitergeleitet, die nichts mit der ursprünglichen Seite zu tun haben. Das Ergebnis: ein infizierter Computer.

Interessanterweise erfolgt die Weiterleitung nicht, wenn man den Namen einer infizierten Webseite ganz einfach eingibt. Dann wird keine der infizierten Skriptfunktionen ausgeführt und es wird ganz einfach die gewünschte Seite angezeigt. Dies dient dazu keinen Verdacht bei Webmastern, Angestellten und regelmäßigen Besuchern der Seite aufkommen zu lassen und trotzdem das Ziel der Cyber-Kriminellen zu erreichen:

  • nämlich möglichst viele Nutzer zu infizieren
  • und das schädliche Skript vor dem Webmaster zu verstecken, um eine längere Lebensdauer der Schadsoftware zu sichern.

Diese Art von Attacke schadet also nicht nur den Nutzern, sondern kann auch dazu führen, dass harmlose Webseiten von Security-Produkten auf die schwarze Liste gesetzt werden.

Es sind übrigens nicht nur Webseiten, die zur Erzielung guter Suchrankings optimiert wurden, die verwendet werden – die Cyber-Kriminellen zielen sogar speziell auf einige Security-Seiten ab. Beispielsweise waren besonders gefälschte Antivirus-Lösungen wie Antivirus XP im Gespräch. Wenn Sie Google verwenden, um Informationen zu diesem Thema zu suchen, bringen die Suchergebnisse viele verschiedene Seiten – das Problem dabei ist, dass wenn Sie auf eine Seite aus der Google-Ergebnisliste klicken, führt das modifizierte Skript auf dem gehackten Security-Server Antivirus 2010 auf Ihrem Computer aus.

Die Kompromittierung von Webseiten, die für Suchmaschinen optimiert wurden und dadurch die Infizierung von Nutzern über eine Reihe von bösartigen Umleitungen wird 2009 mit Sicherheit ein beliebtes Mittel für Attacken sein und wird den Webmastern so einiges Kopfzerbrechen bereiten.

Das zeigt wieder einmal, dass nichts im Internet so sicher ist, wie es scheint. Und um das gleich klarzustellen, nicht nur Google ist betroffen! Ich habe das Attacken-Szenario auch mit Yahoo! und MSN durchgespielt und das Ergebnis war dasselbe. Wir haben die Schadsoftware im oben erläuterten Beispiel als Trojan-Downloader.Win32.Fraudload.vffa identifiziert und wir werden sicher noch verschiedenste Varianten davon zu Gesicht bekommen. Halten Sie also Ihre Antivirus-Software auf dem neusten Stand!

Die Google-Variable

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach