Royal Baby lockt auf Blackhole Site

Kaspersky Lab gratuliert dem königlichen Paar zur Geburt seines Sohnes und wünscht der Familie für die Zukunft alles Gute. Es ist eine wahrhaft gute Nachricht, die nun in Großbritannien und dem Rest der Welt gefeiert wird.

Doch eben weil sich diese Neuigkeit wie ein Lauffeuer rund um den Globus ausbreitete, ließen auch die kriminellen Elemente nicht lange auf sich warten, die die gute Nachricht folgendermaßen missbrauchten: „Das Royal Baby: Live-Ticker“ verspricht eine E-Mail, die heute in unseren Spam-Fallen hängen blieb. Der in der Mail enthaltene Link mit der Bezeichnung „Zur Webcam im Krankenhaus” erwies sich als Köder, der seine Beute… nirgendwohin führt, denn anscheinend wurde die Websites bereits desinfiziert. Wie es aussieht, handelt es sich um eine kompromittierte legitime Website, die bereits gesäubert wurde.

Doch wir wollten trotzdem wissen, wo der schädliche Content platziert sein könnte, und wir mussten nicht lange danach suchen. Während ich diesen Bericht schreibe, wird genau ein Ergebnis für unsere Websitesuche ausgegeben.

Was wir hier finden, ist im Prinzip inhaltlich genau dasselbe, wie wir es bereits in der E-Mail gelesen haben, allerdings mit einem entscheidenden Unterschied: Der hier enthaltene Link auf die “Krankenhaus-Webcam” ist noch immer aktiv. Es sind drei Links mit *.js enthalten, die jeweils unterschiedliche Hosts angeben.

Nach einer kurzen Überprüfung sieht man, worum es hier eigentlich geht, und zwar um eine URL, die ein „Blackhole Exploit Kit“ liefert – ein Drive-by-Ansatz, der ungeschützte User „on the fly“ infiziert.

Die Produkte von Kaspersky Lab detektieren diese Bedrohung als “Trojan-Downloader.JS.Expack.aiy”.