158410

Web-Attacke verbreitet sich schnell

19.05.2009 | 11:43 Uhr |

Eine neue Attacke, bei der Google-Suchergebnisse durch schädliche Links verunreinigt werden, verbreitet sich rasend schnell. Darauf hat das US Computer Emergence Respone Team (US-Cert) hingewiesen.

Die Attacke hatte kürzlich begonnen und seit dem werden Google-Suchergebnisse durch eine Malware manipuliert . Laut Angaben von Sicherheitsexperten sind bereits einige tausend seriöse Websites infiziert worden. Die Attacke zielt auf eine bekannte Sicherheitslücke in einer Adobe-Software ab und installiert auf dem angegriffenen Rechner eine schädliche Software.

Die auf dem Rechner installierte schädliche Software ist in der Lage, FTP-Zugangsdaten vom angegriffenen Rechner zu stehlen und verbreitet sich mittels dieser Daten weiter. Außerdem erfolgt ein Angriff auf den Browser: Die Google-Suchergebnis-Seite wird durch eine vom Angreifer ausgewählte Seite ausgewechselt.

Sicherheitsexperten bemerkten die Attacke erstmalig im März, als einige hundert Websites angegriffen und infiziert wurden. In den letzten Tagen ist die Zahl der infizierten Websites dramatisch angestiegen.

Die Attacke wurde auf den Namen "Gumblar" getauft, weil sie bis zu einem gewissen Zeitpunkt die Domain Gumblar.cn nutzte. Seit wenigen Stunden wird die betreffende Domain aber nicht mehr genutzt.

Das Sicherheitsunternehmen Scansafe hat mehr als 3.000 infizierte Websites ermittelt. Eine Woche vorher waren es noch 800 Sites. Dass die Zahl der infizierten Websites über einen solchen Zeitraum von mehreren Monaten stetig ansteigt ist eher ungewöhnlich. Normalerweise werden Webmaster mit der Zeit tätig und reinigen ihre Server. Eine Erklärung könnte sein, dass es den Angreifern gelungen ist, ihre Attacke gut zu verstecken und es somit schwieriger gemacht haben, infizierte Sites ausfindig zu machen. Hinzu kommt, dass die Angreifer die gestohlenen FTP-Zugriffsdaten nutzen, um sich Zugang auf die Sites zu verschaffen und beispielsweise die Ordner-Rechte zu verändern. Dadurch sind die Angreifer auch in der Lage, sich unterschiedliche Wege offen zu lassen, um auf die Server zuzugreifen.

John Harrison, Product Manager von Symantec Security Response, weist darauf hin, wie häufig Web-Attacken mittlerweile vorkommen, so dass Gumblar letztendlich doch einen vergleichsweise kleinen Angriff darstellt. So habe Symantec im letzten Jahr über 18 Millionen Web-Attacken bei seinen Kunden registriert, während bei Gumblar bisher 10.000 infizierte Websites gemessen wurden. "Es ist nur ein neuer Tag mit Drive-By-Downloads. Da gibt es wirklich so viele von", sagte Harrison.

Als Schutzmaßnahme sollten Internet-Nutzer ihren Browser sowie die installierten Erweiterungen stets auf dem neuesten Stand halten. Außerdem ist eine Antivirus-Software oder Security-Suite hilfreich, die auch den Web-Datenverkehr analysieren und Angriffe abwehren kann.

0 Kommentare zu diesem Artikel
158410