Cross-Site-Scripting

Massiver Angriff über Google-Suche

Die G Data Security Labs meldet einen groß angelegter Angriff über Suchergebnisse bei Google. Bei etlichen Suchbegriffen haben sich Seiten in den Ergebnislisten nach oben geschoben, die über manipulierte Links Schadcode einschleusen.

Je nach Suchanfrage bekommen die Surfer einen VideoCodec, pornografische Inhalte oder ein kostenloses Virenschutz-Programm angeboten. Wechselt der Anwender von Google zur jeweiligen Webseite, wir über Cross-Site-Scripting versucht, die Malware auf seinem System zu installieren. Der Standort des Malware-Servers befindet sich nach Recherchen der G Data Security Labs derzeit in Indien. Bei der aktuellen Welle haben es die Täter primär auf Anwender abgesehen, die im Internet auf der Suche nach pornografischen Inhalten sind. Nach Einschätzung des Bochumer Security-Herstellers könnte sich dies jederzeit ändern. Ins Fadenkreuz der Kriminellen könnten so beispielsweise schnell auch Sport-Fans, Auto-Freaks oder Jobsuchende geraten.

Ralf Benzmüller, Leiter G Data Security Labs: "Nicht nur deutschsprachige Ableger von Google betroffen."
Ralf Benzmüller, Leiter G Data Security Labs: "Nicht nur deutschsprachige Ableger von Google betroffen."
Foto: Ronald Wiltscheck

Ralf Benzmüller, Leiter G Data Security Labs, kommentiert diese Angriffe: " in den letzten Tagen beobachten wir einen starken Anstieg gefährlicher Google-Suchergebnisse. Möglicherweise sind nicht nur die deutschsprachigen Ableger von Google betroffen. Fast zehn Prozent der eingehenden Gefahrenmeldungen haben zurzeit direkt oder indirekt etwas mit manipulierten Google-Suchergebnissen zu tun. Bei der aktuellen Welle reicht ein falscher Klick aus, um Surfer in die Falle zu locken. Nur wenn die HTTP-Daten vor der Anzeige im Browser geprüft werden, ist der PC geschützt."

Eine manipulierte Website
Eine manipulierte Website
Foto: Ronald Wiltscheck

Die Angreifer versuchen den Schadcode zu verschleiern, indem sie den ASCII-Text durch Hexadezimal-Werte ersetzen. Hierdurch kann der Browser den Code immer noch einwandfrei verarbeiten. Für Menschen und Suchmaschinen wird er jedoch unleserlich. Diese Vorgehensweise ermöglicht es den Tätern, Google-Filter zu unterlaufen. In dem Hexadezimal-Code versteckt sich HTML-Code, der einen Angriff über Cross-Site-Scripting ausführt.

Die manipulierten Seiten werden von den Angreifern in Blogs, Foren und gecrackten Webseiten veröffentlicht und erhalten so eine gute Bewertung für die gewünschten Suchbegriffe. In einem Beispiel sieht es etwa so aus, als ob eine wenig genutzte Seite einer amerikanischen Universität so manipuliert wurde, dass bestimmte Suchbegriffe in Suchmaschinen weit oben erscheinen.

Der von der indischen Seite nachgeladene Script-Code ist hochgradig verschleiert. Die Seite wird bei dieser Vorgehensweise nicht statisch erzeugt, sondern es wird zwischen verschiedenen Infektionsmaschen unterschieden. Bei Tests stießen G Data-Experten auf infizierte Flash-Dateien, angebliche Video-Codecs und falsche Antiviren-Software. Die verschiedenen Maschen führten aber letztlich immer zum Download der gleichen Schaddatei. (Channelpartner/ala)