Neue Virenwelle?

Neosploit: Malware-Toolkit wieder unterwegs

Das Neospolit-Toolkit wurde anscheinend zu früh von Security-Experten zu Grabe getragen. Denn nun ist eine neue Version erschienen.

Das Exploit-Toolkit "Neosploit" ist einer der bekannteren Angriffsbaukästen, mit denen Online-Kriminelle versuchen, Malware in die Rechner von Webnutzern einzuschleusen. Im Juli hatten Forscher der FraudAction Research Labs gemeldet, die Macher von Neosploit hätten das kommerziell vertriebene Toolkit vom Markt genommen. Ian Amit, Direktor der Sicherheitsforschung bei Aladdin Knowledge Systems, widerspricht nun diesem anscheinend verfrühten Abgesang. Amit meint, Neosploit sei nicht nur wieder im Geschäft, es sei auch mitverantwortlich für die beobachtete starke Zunahme der Angriffe mit PDF-Exploits. Die Neosploit-Programmierer hätten lediglich starken Gegenwind verspürt und ihr Toolkit aus der Schusslinie der Ermittler nehmen wollen.

Neosploit gilt als Nachfolger von Toolkits wie "MPack" und "WebAttacker". Angriffsbaukästen wie diese werden in präparierten Webseiten eingesetzt, um Malware zu verbreiten. Sie erkennen mit Hilfe von Javascript technische Details wie die Versionsnummern des benutzten Browsers und der installierten Plug-ins. Entsprechende Verzweigungen im Angriffscode nutzen dann passende Exploits für bekannte Sicherheitslücken.

In der Vergangenheit waren es vorwiegend Schwachstellen im Internet Explorer, etwa anfällige ActiveX-Komponenten, oder in Plug-ins wie Flash und Quicktime. Inzwischen konzentrieren sich verschiedene Angriffsbaukästen auf PDF-Exploits, da diese offenbar recht erfolgreich sind. Ian Amit und seine Mitarbeiter haben einen Server in Argentinien unter Beobachtung, der von einem altbekannten Kunden des Neosploit-Toolkits betrieben wird. Auf diesem Server mehren sich die Hinweise darauf, dass mit Neosploit 3.1 wieder eine neue Version auf dem Markt ist, die ebenfalls stark auf PDF-Exploits setzt.

Allein auf diesem Server tummeln sich 20 bis 30 Neosploit-Nutzer, die etwa 200 bis 300 Websites kompromittiert und mit dem Neosploit-Kit präpariert haben. Etwa eine Viertelmillion PCs sollen damit bereits erfolgreich angegriffen worden sein, schließt Amit aus den auf dem Server gespeicherten Daten. Die Macher von Neosploit haben auch Verbesserungen an ihrem Lizenzmodell vorgenommen, um den Schutz vor Raubkopierern zu verbessern. So soll eine kostenpflichtige Lizenz fest an eine IP-Adresse gekoppelt sein. Frühere Version wurden offenbar teilweise von Trittbrettfahrern genutzt, die nicht bereit waren, für das Toolkit zu bezahlen. Neosploit ist also weiterhin im Geschäft. Solange es eine Nachfrage nach Angriffs-Toolkits gibt, werden die Macher solcher Baukästen auch liefern. (PC-Welt/mja)