Verdeckte Web-Angriffe
Malware manipuliert Googles Suchergebnisse
Immer mehr legitime Website werden heimlich modifiziert, um Malware zu verbreiten. Eine derzeit grassierende Angriffswelle schleust Malware ein, um die Suchergebnisse von Google zu manipulieren.
Wenn Ihr Virenscanner beim Besuch einer harmlos erscheinenden Website anschlägt, handelt es sich heutzutage meist um Script-Code, der ohne Wissen der Website-Betreiber eingefügt wurde. Die Scripte nutzen Sicherheitslücken im Browser und dessen Plug-ins, um Malware in die Rechner der Besucher einzuschleusen. Derzeit werden Schädlinge verbreitet, die Anzeigen auf im Browser dargestellten Suchmaschinenseiten verändern, um Werbegelder in dunkle Kanäle zu lenken.
Wie Mary Landesman im Blog des Sicherheitsunternehmens SafeScan meldet, haben Online-Kriminelle zunächst relativ schlichten Script-Code verwendet, der auf eine bestimmte IP-Adresse in Litauen verwies. Die fortgesetzten Angriffe sind seitdem jedoch raffinierter geworden. Um die Entdeckung und Filterung zu erschweren, verwenden die Angreifer inzwischen hochgradig verschleierten, ständig veränderten Javascript-Code, der auf die Domain gumblar.cn verweist.
Der Script-Code nutzt Sicherheitslücken in Browser-Erweiterungen für die Anzeige von Flash- und PDF-Dateien, also im Adobe Flash Player und im Adobe Reader aus. Verwenden Besucher einer gehackten Website eine anfällige ältere Version dieser Plug-ins, schleust der Script-Code Malware ein. Diese Malware macht den Rechner zu einem Teil eines Botnets.
Die Malware manipuliert die Ergebnisseiten von Google, bevor sie im Browser angezeigt werden. Sie ersetzt Links durch andere und leitet den Anwender so auf andere Seiten um. Außerdem spioniert der Schädling FTP-Passwörter aus und liefert den Online-Kriminellen damit Zugangsdaten für weitere Websites. Diese werden dann ebenfalls mit den Angriffs-Scripten versehen.
Im Unterschied zu vielen anderen Fällen von Manipulationen legitimer Websites handelt es sich bei dieser Angriffswelle nicht um eine kurzlebige Erscheinung. Durch ständige Anpassung der Scripte ist es den Online-Kriminellen gelungen, ihre Angriffe bereits über knapp zwei Monate aufrecht zu erhalten.
Als Schutzmaßnahme sollten Internet-Nutzer ihren Browser sowie die installierten Erweiterungen stets auf dem neuesten Stand halten. Außerdem ist eine Antivirus-Software oder Security-Suite hilfreich, die auch den Web-Datenverkehr analysieren und Angriffe abwehren kann.
