Twitter XSS in freier Wildbahn

Ein neues Twitter XSS-Exploit wurde in freier Wildbahn identifiziert, als Cyberkriminelle es über Nacht erstmals zum Einsatz brachten.

Die schädliche JavaScript-Payload, die verbreitet wird, ist recht simple gestrickt. Sie nutzt eine XSS-Schwachstelle (Cross-Site Scripting), um das Cookie der Twitter-User zu stehlen, das an zwei spezielle Server weitergeleitet wird. Jeder Account, über den auf den schädlichen Link geklickt wurde, wird kompromittiert. Doch wie viele User haben auf den Link geklickt? Die Statistiken von bit.ly für einen der maliziösen Links sind mehr als besorgniserregend: Es wurden bereits mehr als 100.000 Klicks registriert.

Alles deutet auf Brasilien als Ursprungsland für diese Attacke. Zum einen sind zwei der Domain-Namen, die verwendet werden, um an die gestohlenen Cookies zu kommen, unter brasilianischen Namen registriert. Zudem wird einer von ihnen auch tatsächlich in Brasilien gehostet. Und zu guter Letzt braucht man nur einen Blick auf den Tweet zu werfen, mit dessen Hilfe die schädliche Payload verbreitet wird, um diesbezüglich ganz sicher zu gehen:

Pe Lanza da banda Restart sofre acidente tragico – ein kurzer Tweet auf Portugiesisch über die brasilianische Popband Restart, die einen „tragischen Unfall“ erlitten hat. Ich denke, damit wären alle Zweifel an der Herkunft dieses Angriffs ausgeräumt.

Wir haben das schädliche Script unseren Datenbanken als Exploit.JS.Twetti.a hinzugefügt und zudem dafür gesorgt, dass die in dieser Attacke verwendeten URLs in die Schwarze Liste aufgenommen werden. Derzeit arbeiten wird daran, die schädlichen URLs offline zu nehmen und den Schaden so gering wie möglich zu halten. Twitter sowie andere wichtige Player der Branche wurden selbstverständlich informiert.

UPDATE: Twitter hat mitgeteilt, dass die Sicherheitslücke geschlossen wurde.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.