computerwoche.de

Security

Hacker kapern mehr als 10.000 Web-Seiten

19.06.2007
Im Rahmen einer groß angelegten Web-Attacke haben Cyber-Kriminelle mit Hilfe eines Hacker-Tools bereits eine ganze Armee legitimer Sites in Europa für ihre Zwecke "rekrutiert".

Nach Angaben mehrerer Sicherheitsunternehmen haben Hacker in den vergangenen Tagen in Europa ein Netz von mehr als 10.000 gehackten Webseiten geschaffen, das mittlerweile weltweit für Infektionen sorgt. Erste Anzeichen für eine groß angelegte Attacke auf Basis des Hacker-Exploit-Kits "Mpack" hat es Security-Experten zufolge bereits am Freitag gegeben.

Im Rahmen des aktuellen Angriffs werden legitime Seiten mit Hilfe weniger Zeilen HTML-Code mit einem zusätzlichen IFrame versehen, der Besucher der manipulierten Site an einen Server weiterleitet, der das Mpack-Kit hostet. Dabei handelt es sich um eine in Russland erstellte Sammlung von Exploits, die über eine professionelle Management-Konsole Anhaltspunkte dazu liefert, welcher Exploit-Code sich für welches Betriebssystem beziehungsweise welchen Browser am besten eignet. Die Malware, die bereits gepatchte Schwachstellen in Browsern ausnutzt, macht sich demnach nicht nur an Microsofts Internet Explorer, sondern auch an Firefox und Opera zu schaffen. Sicherheitsexperten raten Web-Anwendern daher dringend, ihre Browser auf den aktuellsten Stand zu bringen. Ausführlichere Informationen zu dem Hacker-Kit stellt der Antivirenanbieter Panda Software unter "Mpack uncovered" zur Verfügung.

Auf die infizierten Rechner werden ein Keylogger und ein Trojaner installiert, mit deren Hilfe Angreifer beispielsweise Nutzernamen und Passwörter für valide Accounts bei Online-Banking-Seiten ausspähen und abgreifen können.

Nach Informationen von Trend Micro erfolgten 80 Prozent der Infektionen am vergangenen Wochenende auf italienischen Webseiten. Mittlerweile meldeten Sicherheitsexperten aber weltweit kompromittierte Webseiten. So will Trend Micro inzwischen auch in Kalifornien und Illinois gehostete Hacker-kontrollierte Sites ausfindig gemacht haben.

Gestern waren es einem Advisory von Websense zufolge bereits rund 10.000 manipulierte Sites. Der Antivirenhersteller Avira hat eigenen Angaben zufolge bis dato 11.146 infizierte Webseiten aufgespürt und empfiehlt Web-Nutzern in diesem Kontext, die IP-Adresse 64.38.33.13. zu blockieren, da diese verschiedensten Schadcode enthalte. (kf)