Neuer Angriffsvektor

Hacker füllen Zwischenablagen von Windows-PCs und Macs

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Vermutlich mit Hilfe des allgegenwärtigen Flash Players von Adobe Systems haben Hacker begonnen, die Zwischenablagen ("Clipboards") von PCs und Macs mit dubiosen URLs zu füllen.

Das berichten Experten der britischen Security-Firma Sophos. Sie vermuten, dass dazu der Flash-Befehl "setClipboard" verwendet wird. Der Aufruf erfolgt dabei über Flash-Werbung, die mit bösartigen Skripts infiziert und ins Ökosystem der Web-Werbung eingeschleust wurde (offenbar auch auf populären und seriösen Sites).

Die in die - für gewöhnlich unsichtbare - Zwischenablage eingefügten URLs verweisen wiederum auf Web-Seiten mit Schadcode (Malware), genauer vorgeblicher Security-Software. Ein ahnungsloser Internetnutzer kann beispielsweise darauf geleitetet werden, wenn er den Inhalt des Clipboards in die Adresszeile seines Browsers einfügt.

Die "Vergiftung" der Zwischenablage wurde bereits in mehreren Nutzerforen gemeldet, unter anderem bei Apple. Besonders gemein an der Attacke ist die Tatsache, dass der ins Clipboard eingefügte bösartige URL offenbar längere Zeit erhalten bleibt, selbst wenn der Nutzer durch Kopieren eigentlich einen neuen Inhalt in die Zwischenablage befördert.

Laut Graham Cluely, Senior Technology Consultant bei Sophos, lässt sich die Zwischenablage leeren, indem man der Browser schließt. Teilweise genügt es auch, die Registerkarte ("Tab") zu schließen, in der die Seite mit der infizierten Flash-Werbung läuft. Firmen empfiehlt Cluely zusätzlich, eine Web-Filterung für die Seiten mit den gefälschten Sicherheitsprogrammen einzusetzen.