Eine Schadsoftware namens Darkleech soll seit mindestens einem dreiviertel Jahr tausende Webseiten mit unsichtbaren iFrames ausstatten, die auf verseuchte Webseiten verweisen. Der Schädling soll hierfür den
Wie Ars Technica
Darkleech verbirgt auf den betroffenen Webseiten unsichtbare iFrames, die auf verseuchte Seiten verweisen, über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus – und davon gibt es reichlich. Laut einer WebSense-Untersuchung ist
Bild ist nicht mehr aktiv.
Besonders betroffen sind die USA. Darauf folgen allerdings schon Großbritannien und Deutschland.
Bild:
Bei der Auswahl seiner Opfer geht Darkleech sehr vorsichtig und intelligent vor; die iFrames werden dynamisch von einem Apache-Modul beim Seitenaufruf eingebettet. So kann der Webmaster den Schadcode nur schwer lokalisieren – der Quellcode der Webseite auf dem Server bleibt unberührt. Zudem werden einigen IP-Adressen keine iFrames zugedacht und geblacklistet – wie etwa von Sicherheits- und Hostingfirmen. Ebenso werden bereits angegriffe User nicht mehr auf infizierte Seiten umgeleitet.
Die Manipulation der Webseiten wird über einen Angriff auf Apache-Webserver-Software ausgeführt. Wie Mitarbeiter von Cisco verifizieren konnten, sind alle Apache Versionen ab 2.2.22 betroffen, die meistens auf Linux-Systemen installiert sind – wie die Angreifer Darkleech einschleusen können, ist immer noch unklar. Möglicherweise sind Sicherheitslücken in
Zumindest haben die Entwickler von Darkleech auch der Reinigung der Webserver einige Steine in den Weg gelegt. Die Schadsoftware kontrolliert nach einer Infektion die Secure Shell (SSH) Mechanismen, da Darkleech den SSH-Daemon gegen eine manipulierte Version austauscht. Diese richtet eine Backdoor ein und speichert die Zugangsdaten. Administratoren müssen deshalb die Server mit Hilfe eines Backups neu einrichten und auch die Zugangsdaten ändern.
Darkleech breitete sich während der Beobachtung von Cisco unter anderem auf den Webseiten der Los Angeles Times und von Seagate und anderen Unternehmen aus - auf diesen Webseiten blieben die schädlichen iFrames rund einen Monat unentdeckt, bis sie entfernt werden konnten.
Die ersten Berichte zu der Schadsoftware waren auf dem
heise-security.de
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
missbrauchen, allerdings wurde bisher das Einfallstor in die Software nicht gefunden. Auf den durch die Webserver verseuchten Webseiten sucht sich Darkleech seine Opfer genau aus. Nutzer mit IP-Adressen von Sicherheits- und Hosting-Firmen sowie die Seitenbetreiber werden beispielsweise nicht auf bösartige Webseiten gelenkt. Betroffen sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein.Wie Ars Technica
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, sollen infizierte Webseiten in insgesamt 48 Ländern gesichtet worden sein. Der Netzwerkausrüster Cisco
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Darkleech sechs Wochen lang zwischen Februar und März 2013 und stellte allein in diesem Zeitraum eine Infektion von 2.000 Webseiten fest. Da der gesamte Webserver infiziert ist und jeder Server im Schnitt zehn Webseiten hostet, wird mit einer Infektion von mindestens 20.000 Webseiten in diesem Zeitraum gerechnet.Darkleech verbirgt auf den betroffenen Webseiten unsichtbare iFrames, die auf verseuchte Seiten verweisen, über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus – und davon gibt es reichlich. Laut einer WebSense-Untersuchung ist
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Bild ist nicht mehr aktiv.
Besonders betroffen sind die USA. Darauf folgen allerdings schon Großbritannien und Deutschland.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bild:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bei der Auswahl seiner Opfer geht Darkleech sehr vorsichtig und intelligent vor; die iFrames werden dynamisch von einem Apache-Modul beim Seitenaufruf eingebettet. So kann der Webmaster den Schadcode nur schwer lokalisieren – der Quellcode der Webseite auf dem Server bleibt unberührt. Zudem werden einigen IP-Adressen keine iFrames zugedacht und geblacklistet – wie etwa von Sicherheits- und Hostingfirmen. Ebenso werden bereits angegriffe User nicht mehr auf infizierte Seiten umgeleitet.
Die Manipulation der Webseiten wird über einen Angriff auf Apache-Webserver-Software ausgeführt. Wie Mitarbeiter von Cisco verifizieren konnten, sind alle Apache Versionen ab 2.2.22 betroffen, die meistens auf Linux-Systemen installiert sind – wie die Angreifer Darkleech einschleusen können, ist immer noch unklar. Möglicherweise sind Sicherheitslücken in
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und anderer Software für die Manipulation genutzt worden. Plausibel ist aber auch, dass Passwörter geknackt wurden oder Social Engineering und andere Attacken den Zugang möglich machen.Zumindest haben die Entwickler von Darkleech auch der Reinigung der Webserver einige Steine in den Weg gelegt. Die Schadsoftware kontrolliert nach einer Infektion die Secure Shell (SSH) Mechanismen, da Darkleech den SSH-Daemon gegen eine manipulierte Version austauscht. Diese richtet eine Backdoor ein und speichert die Zugangsdaten. Administratoren müssen deshalb die Server mit Hilfe eines Backups neu einrichten und auch die Zugangsdaten ändern.
Darkleech breitete sich während der Beobachtung von Cisco unter anderem auf den Webseiten der Los Angeles Times und von Seagate und anderen Unternehmen aus - auf diesen Webseiten blieben die schädlichen iFrames rund einen Monat unentdeckt, bis sie entfernt werden konnten.
Die ersten Berichte zu der Schadsoftware waren auf dem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
vonLink ist nicht mehr aktiv. am 13. August 2012 erschienen. Laut Sinegubko erkennen Googles Malware-Scanner die iFrames – allerdings nicht alle.heise-security.de
Zuletzt bearbeitet:
