iFrames = Apple auch?

Schlägt man die Definitionen des Begriffs „iframe“ nach, stößt man in der Tat auf Ergebnisse von „…einem von Apple definierten Constraint des H.264 Codecs, mit dem Verbraucher mühelos Videos erzeugen können.“ Diese iframes enthalten alle notwendigen Informationen zum Rendern und dienen als Referenz zur Erstellung weiterer Frames. Thema dieses Artikels ist jedoch eine andere iframe-Variante, nämlich HTML-Tags. Iframes können mehrere Attribute aufweisen und werden von uns häufig bei der Analyse maliziöser Webseiten angetroffen. Sie werden vielmals im Verborgenen zum Aufbau von Drive-by-Downloads von Schadprogrammen benutzt und, um sie noch besser zu tarnen, oft einfach verschlüsselt (was auch als „Obfuskation“ bezeichnet wird), was von Webbrowsern in Echtzeit wieder entschlüsselt wird. Vor dem Hintergrund dieser Informationen können wir interessante Websites ausfindig machen, so werden bei einer Websuche nach „#64#6f#63#75#6d#65#6e#74#2e#77#72#69#74#65“ (das sich als ‚document.write’ entschlüsseln lässt) sofort 10.000+ Ergebnisse angezeigt.

Der erste Eintrag auf unserer Ergebnisliste ist ein Link zu einer Torrent-Site, auf der User Schadsoftware diskutieren. Ironischerweise findet sich inmitten dieser Suchergebnisse auch etwas, das nach einem „infizierten Podcast“ aussieht und bei itunes.apple.com gehostet wird – womit wir wieder bei unserem anfänglichen Thema über iframes wären. Der injizierte Code enthält einen iframe, der User auf moshonken(dot)com, einem Host, der in der Vergangenheit durch die Weiterverbreitung von Exploits von sich reden gemacht hat, weiterleitet. Derzeit scheint dieser Host zwar nicht funktionsfähig zu sein, jedoch wird weiterhin Schadcode, mit dem sich ein Zugang zu ihm verschafft werden soll, in viele legitime Websites eingeschleust, wie unsere Suchergebnisse zeigen. Wir haben diesen Code als ‚HEUR:Trojan.Script.Iframer‘ identifiziert und das Problem über das Feedback-Forum von Apple gemeldet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.