Nuclear Pack

Angriffsbaukasten wertet Mausbewegungen aus

Mittwoch den 11.04.2012 um 16:29 Uhr

von Frank Ziemann

Nuclear Pack prüft auf Mausbewegungen
Vergrößern Nuclear Pack prüft auf Mausbewegungen
Das Exploit Kit Nuclear Pack versucht die Analyse kompromittierter Web-Seiten durch automatische Reputationsdienste der Sicherheitsunternehmen auszuhebeln, indem es seinen Code nur lädt, wenn es Mausbewegungen eines Benutzers erkennt.
Online-Kriminelle sind erfinderisch, wenn es darum geht ihre Aktivitäten zu verschleiern. Anwender setzen gern auf technische Lösungen, um sich vor Infektionen ihres Rechners zu schützen. Dazu zählen Reputations-Tools wie etwa McAfee SiteAdvisor, die Websites nach schädlichem Code oder potenziell gefährlichen Downloads durchsuchen und den Benutzer warnen. Diese Schutzlösungen versuchen die Programmierer des Angriffsbaukastens "Nuclear Pack 2.0" auszutricksen.

Beim Betrachten des Quelltextes einer mit diesem Kit kompromittierten Web-Seite fällt zunächst nichts Verdächtiges auf, selbst wenn man ihn mit der Originalversion vergleichen kann. Es ist kein zusätzlicher IFrame oder eingefügter Script-Code zu entdecken. Erst die genauere Analyse enthüllt, dass der im Original vorhandene Javascript-Aufruf, der eine separate Datei lädt, eine manipulierte Fassung dieser Javascript-Datei aufruft. Darin steckt der Angriffs-Code.

Doch die Tarnung geht noch weiter, wie David Harley im Blog des Antivirusherstellers ESET berichtet. Der eingefügte Javascript-Code wird nur ausgeführt, wenn Mausbewegungen erkannt werden, also wohl ein Mensch vor dem PC sitzt. Die automatisierten Analyse-Tools der Sicherheitsunternehmen, die Websites auf Risiken abklopfen, sollen den Code hingegen nicht zu sehen bekommen.

Das Script lädt den eigentlichen Angriffs-Code von einer anderen Website. Dieser lädt dann einen IFrame in die scheinbar harmlose Seite, der den Browser des Besuchers auf ausnutzbare Schwachstellen abklopft. So lädt er zum Beispiel auch Exploit-Code für eine erst im Februar dieses Jahres geschlossene Sicherheitslücke im Java Plug-in (JRE). Gelingt der Angriff, wird ein Trojanisches Pferd aus der Carperp -Familie eingeschleust und ausgeführt. Diese kann weitere Schädlinge aus dem Internet nachladen. Statt Java kann etwa auch ein veralteter Adobe Reader oder Flash Player als Einfallstor dienen.

Mittwoch den 11.04.2012 um 16:29 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
1433036