Schädliches Widget hat Millionen von Webseiten infiziert

Kein Kommentar Autor: Jürgen (jdo)

Network Solutions LogoEin Sicherheitsexperte behauptet, dass bis zu fünf Millionen von Network Solutions gehostete Webseiten seit Monaten Malware ausliefern. Es sei eine der größten Infektionen für Drive-by-Download-Angriffe, die er je gesehen hat, sagte Wayne Huang, Mitgründer und CTO der Web-Sicherheitsfirma Armorize Technologies. Network Solutions versucht die Sache derzeit herunter zu spielen und zweifelt Huangs Zahlen (500.000 – 5.000.000) an. Allerdings legt der Hoster derzeit keine eigenen Nummern vor. Laut einer Sprecherin von Network Solutions untersuche man die Zahl und die Zeitleiste der Infektionen noch.

Huang sagte, dass man die Infektion auf ein Widget der Firma Network Solutions auf seiner GrowSmartBusiness.com-Webseite zurückverfolgen konnte. Dieses Widget war auf allen geparkten Domains des Hosters automatisch aufgetaucht, fügte der Sicherheits-Experte an. Die größte Masseninfektion die Huang je gesehen hätte sei 1,1 Millionen Seiten gewesen. “Das Ding hier ist viel größer”, sagte der Experte.

GrowSmartBusiness

GrowSmartBusiness: Die bösartigen Hacker haben das beim Wort genommen.

Das Widget verwandelte jede infizierte Domain in eine Drive-by-Angriffs-Seite. Besucher wurden dann mit dem Nuke-Toolkit unter Beschuss genommen. Die Malware versucht die Browser Internet Explorer, Firefox, Chrome und Opera zu infiltrieren. Bei Erfolg installiert es einen Trojaner-Downloader auf Windows-Rechnern. Ist das geglückt leitet der Schadcode Suchanfragen um und liefert Pop-Up-Werbung aus. Diverse Antiviren-Programme, die den Angriff mitbekamen, identifizierten den Downloader als eine Koobface-Variante. Dieser Wurm ist bekannt für Angriffe auf soziale Netzwerke wie Facebook.

Mit Hilfe von verschiedenen Suchmaschinen hat Huang das Widget auf 500.000 bis fünf Millionen Webseiten gefunden. Persönlich glaubt er, dass die größere der beiden Zahlen stimme. Suchmaschinen seien nicht so erpicht darauf, geparkte Domains zu indizieren. Somit sei die Zahl in den Suchmaschinen eher zu gering.

Network Solutions hat das Widget mittlerweile deaktiviert und die Webseite GrowSmartBusiness.com vom Netz genommen. Das Widget kommt aber immer noch auf Seiten vor, wo es manuell installiert wurde. Networkworld spricht von 5700 infizierten, aktiven Webseiten. In einer Sicherheits-Anweisung teilte Network Solutions mit, dass Anwender das Widget löschen und die eigenen Seite auf Schadcode untersuchen sollten. Huang berichtete bereits im Mai über dieses Problem. Damals dachte man, dass nur eine von Network Solutions gehostete Seite Schadcode verbreiten würde. Über das Ausmaß sei man sich damals in keiner Weise bewusst gewesen.

Es sei möglich, dass verschiedene Angriffe auf Network Solutions in diesem Jahr einen gemeinsamen Hintergrund haben. Im April musste sich der Hoster mit einer Masseninfektion von WordPress-Blogs herumschlagen. Im Januar wurden mehrere Hundert Webseiten gehackt und verunstaltet. Diese Angriffe könnten ein klares Zeichen sein, dass sich Malware-Schreiber auch verstärkt auf Hoster konzentrieren. In der Vergangenheit versuchten es bösartige Hacker mit massiven SQL-Injections. Auf diese Weise mussten sie Seiten allerdings einzeln angreifen. Kann man den Hoster mit einer Backdoor infiltrieren, hätte man sofort Zugriff auf Millionen von Webseiten.

Auch Interessant?

  1. Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da
  2. Wirenet: Trojaner klaut Linux- und Mac-OS-X-Passwörter – ist auch ein Keylogger
  3. Google gibt die Richtung für Browser-Sicherheit vor
  4. modern.ie: Webseiten auf IE-Kompatibilität testen – Microsoft ist so gut zu uns …
  5. Am Flughafen in Krakau ins Flixbus WLAN eingewählt

 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.