Kaspersky: Möglicherweise Millionen von Webseiten infiziert

Zuerst dachte David Jacoby, der in diesem Fall mit Yury Namestnikov zusammenarbeitet, dass das Phänomen der infizierten Webseiten nur Schweden betrifft. Doch nach weiteren Nachforschungen wurde klar, dass diese Angriffe über die Grenzen Schwedens hinausgehen und die Cyberkriminellen global ihr Unwesen in diesem Fall treiben. Ebenso haben die Experten zwei verschiedene JavaScript Redirectors gefunden (Trojan.JS.Redirector.ro und Trojan.JS.Oakes.cp).

Die Gang dahinter nutzt Web-Applikationen aus und speist HTML-Code ein, der einen JavaScript Redirector lädt. Welche Lücke dabei genau ausgenutzt wird ist derzeit noch unklar. Allerdings sind laut Aussage von Kaspersky Millionen von Webseiten betroffen. Man weiß derzeit, dass der Code mittels SQL eingespeist wird (SQL Injection). Ob es sich jedoch um schlecht konfigurierte Server oder eine 0-Day-Lücke handelt ist unbekannt.

Im nächsten Schritt werden Anwender auf schädliche Webseiten umgeleitet, die dann den Schadcode einspielen sollen, also die so genannte Payload enthalten. Das kann ein zum Beispiel ein falsches Flash-Player-Update sein. Ist der Schadcode erst auf dem Rechner, verändert dieser auch die Hosts-Datei und vergiftet DNS-Einträge. Dazu gehören www.google-analytics.com, ad-emea.doubleclick.net und www.statcounter.com. Sie finden weitere Informationen zu der noch nicht abgeschlossenen Untersuchung bei Kaspersky: securelist.com (jdo)