Trend Micro (TSE:4704) hat mehr als 9.000 Webseiten identifiziert, die im Rahmen eines Angriffs manipuliert wurden. Über eine SQL-Injection-Attacke gelang es Hackern, auf den betroffenen Webseiten ein Javascript einzufügen, das Besucher zu gefährlichen URLs umleitet. Die sofortige Weiterleitung erfolgt dabei ohne Wissen des Anwenders.
Zu den betroffenen Webseiten gehören seriöse, internationale Angebote aus den Bereichen Medizin, Bildung, Unterhaltung und öffentlicher Sektor. Die Standorte der Angriffsziele sind geografisch verteilt und befinden sich unter anderem in Indien, Großbritannien, Kanada, Frankreich und China. Das lässt die Verwendung eines automatisierten Werkzeugs vermuten, mit dem speziell nach Schwachstellen in Webseiten gesucht wurde.
Die Webseiten enthalten ein nachträglich eingefügtes Javascript. Besucher werden dadurch zu zwei gefährlichen URLs weitergeleitet, die ein zufälliges Bild auf der Webseite darstellen. Solche Routinen werden in Werbebotschaften verwendet. Über Cookies wird zudem versucht zu ermitteln, wie lange das Bild angezeigt wird - möglicherweise, um es nach einer gewissen Zeit gegen ein anderes auszutauschen. Zusätzlich zu diesen Methoden kann ein Anwender aber auch auf einen wesentlich gefährlicheren Weg geleitet werden, der im Download von JS_DLOADER.AEHM und TROJ_REALPLAY.BR resultiert. Beide laden wiederum TROJ_AGENT.AKVP auf das infizierte System. Der Trojaner hinterlässt eine Kopie von sich selbst und veranlasst den Download einer Liste von gefährlichen Websites.
Zudem besteht die Gefahr, dass eine ganze Reihe weiterer Malicious Codes auf das betroffene System heruntergeladen wird, darunter JS_SENGLOT.C, HTML_DLOADR.CJ, JS_REPL.CB, JS_AGENT.ALIG, TROJ_AGENT.ALGQ und EXPL_EXECOD.A. Die letztgenannte Malware relativ alt und enthält Code, der sich gegen Schwachstellen in verschiedenen Applikationen richtet, wie zum Beispiel Yahoo! Jukebox und die vor allem in China verbreitete Lianzong Online-Gaming-Plattform.
Dazu Jamz Yaneza, Threat Research Program Manager bei Trend Micro: "Mehrstufige Angriffe, wie wir sie jetzt beobachten, können leichter abgewehrt werden, wenn beim Aufbau einer Online-Präsenz auf die Einhaltung bewährter Sicherheitsrichtlinien geachtet wird. Das Fehlen einer echten Sicherheitsplanung scheint oftmals der Auslöser hinter solchen Angriffen zu sein. Ein Verständnis für sicherheitsrelevante Zusammenhänge ist daher die Grundvoraussetzung für den Einsatz der neuesten Web-Technologien. Nur so kann der Schutz von Marken-Image und Reputation gewährleistet werden."
Die Trend Micro Web Threat Protection Technologie verhindert die Infektion, indem der Zugriff auf die gefährliche Webseiten blockiert wird. Die oben aufgeführte Malware wurde in das neueste Pattern-Update aufgenommen, wodurch Trend Micro Kunden zusätzlich geschützt sind.
Weitere Informationen zu der aktuellen und weiteren Bedrohungen unter: http://blog.trendmicro.com
Für Anwender stellt Trend Micro mit Web Protection Add On ein neues Werkzeug für zusätzlichen Schutz bereit, das unter folgender URL heruntergeladen werden kann: http://us.trendmicro.com/...
Darüber hinaus haben alle Anwender die Möglichkeit, ihr System mit dem kostenlosen Trend Micro Online-Scanner HouseCall zu überprüfen: http://housecall.trendmicro.com
Zu den betroffenen Webseiten gehören seriöse, internationale Angebote aus den Bereichen Medizin, Bildung, Unterhaltung und öffentlicher Sektor. Die Standorte der Angriffsziele sind geografisch verteilt und befinden sich unter anderem in Indien, Großbritannien, Kanada, Frankreich und China. Das lässt die Verwendung eines automatisierten Werkzeugs vermuten, mit dem speziell nach Schwachstellen in Webseiten gesucht wurde.
Die Webseiten enthalten ein nachträglich eingefügtes Javascript. Besucher werden dadurch zu zwei gefährlichen URLs weitergeleitet, die ein zufälliges Bild auf der Webseite darstellen. Solche Routinen werden in Werbebotschaften verwendet. Über Cookies wird zudem versucht zu ermitteln, wie lange das Bild angezeigt wird - möglicherweise, um es nach einer gewissen Zeit gegen ein anderes auszutauschen. Zusätzlich zu diesen Methoden kann ein Anwender aber auch auf einen wesentlich gefährlicheren Weg geleitet werden, der im Download von JS_DLOADER.AEHM und TROJ_REALPLAY.BR resultiert. Beide laden wiederum TROJ_AGENT.AKVP auf das infizierte System. Der Trojaner hinterlässt eine Kopie von sich selbst und veranlasst den Download einer Liste von gefährlichen Websites.
Zudem besteht die Gefahr, dass eine ganze Reihe weiterer Malicious Codes auf das betroffene System heruntergeladen wird, darunter JS_SENGLOT.C, HTML_DLOADR.CJ, JS_REPL.CB, JS_AGENT.ALIG, TROJ_AGENT.ALGQ und EXPL_EXECOD.A. Die letztgenannte Malware relativ alt und enthält Code, der sich gegen Schwachstellen in verschiedenen Applikationen richtet, wie zum Beispiel Yahoo! Jukebox und die vor allem in China verbreitete Lianzong Online-Gaming-Plattform.
Dazu Jamz Yaneza, Threat Research Program Manager bei Trend Micro: "Mehrstufige Angriffe, wie wir sie jetzt beobachten, können leichter abgewehrt werden, wenn beim Aufbau einer Online-Präsenz auf die Einhaltung bewährter Sicherheitsrichtlinien geachtet wird. Das Fehlen einer echten Sicherheitsplanung scheint oftmals der Auslöser hinter solchen Angriffen zu sein. Ein Verständnis für sicherheitsrelevante Zusammenhänge ist daher die Grundvoraussetzung für den Einsatz der neuesten Web-Technologien. Nur so kann der Schutz von Marken-Image und Reputation gewährleistet werden."
Die Trend Micro Web Threat Protection Technologie verhindert die Infektion, indem der Zugriff auf die gefährliche Webseiten blockiert wird. Die oben aufgeführte Malware wurde in das neueste Pattern-Update aufgenommen, wodurch Trend Micro Kunden zusätzlich geschützt sind.
Weitere Informationen zu der aktuellen und weiteren Bedrohungen unter: http://blog.trendmicro.com
Für Anwender stellt Trend Micro mit Web Protection Add On ein neues Werkzeug für zusätzlichen Schutz bereit, das unter folgender URL heruntergeladen werden kann: http://us.trendmicro.com/...
Darüber hinaus haben alle Anwender die Möglichkeit, ihr System mit dem kostenlosen Trend Micro Online-Scanner HouseCall zu überprüfen: http://housecall.trendmicro.com
