Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet

Die Sicherheitsforscher von Proofpoint haben kürzlich entdeckt, dass eine große Anzahl an US-Reisewebsites infiziert worden war und dazu benutzt wurde, ein Exploit-Kit namens "Nuclear" zu verschicken. [...]

Ein Klick reicht
Ein Klick reicht

Die befallenen Websites wurden mithilfe von Proofpoints Targeted Attack Protection Software ermittelt, nachdem einige Benutzer E-Mails mit Werbung von diesen Websites erhalten hatten, die Links zu infizierten Seiten enthielten. Die wahrscheinlich sehr effektive Kampagne macht sich viele Attribute zunutze, die für gewöhnlich mit Watering-Hole-Attacken in Verbindung gebracht werden – zumal es sich um offizielle Newsletter handelt, welche die Benutzer in der Regel abonniert haben.

Einige der Werbe-E-Mails bezogen sich auf Festtagsereignisse, wie beispielsweise in den USA den 4. Juli, während andere allgemeine Reiseempfehlungen enthielten. Die Hacker haben demnach ihre Aktionen mit der Sommerurlaubssaison und den üblicherweise damit verbundenen Marketingtätigkeiten abgestimmt.

Anfangs wurden ca. ein Dutzend betroffene Websites mit Reiseempfehlungen erkannt – und ständig werden es mehr. Besonders beängstigend ist der Umstand, dass es sich um stark frequentierte Websites mit hohem Aufkommen an „organischem“ Datenverkehr handelt. In vielen Städten der USA bedeutet dies, dass jede Einzelperson, die nach touristischen Informationen stöbert, eine infizierte Website aufgerufen haben könnte.

So tritt beispielsweise in Google die Website „Myrtle Beach“ (www[.]visitmyrtlebeach[.]com) an zweiter Stelle als Suchergebnis für „myrtle beach” auf – mit einem Alexa-Ranking von 79.296. Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit „Nuclear“ freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind.  Im vorliegenden Fall versucht der Exploit, sofern er erfolgreich ist, mindestens drei Malware-Programme zu installieren:

  • Zemot – ein Downloader, der weitere Malware-Elemente herunterlädt und installiert.
  • Rovnix – ein hochentwickeltes Bootloader-/Rootkit, das die installierte Malware aufruft, sobald der PC gestartet wird, und dann sich selbst und andere Malware-Programme vor Erkennung schützt.
  • Fareit – ein weiterer Downloader, der ferner versucht, Zugangsdaten der Benutzer zu stehlen, und der bei DDOS-Attacken eingesetzt werden kann.

Für diese Attacke wurde zudem ein intelligenter Hostname für die Website gewählt, auf der das Exploit-Kit gehostet wurde. Was zunächst aussieht wie eine Website mit Reiseinhalten, ecom[.]virtualtravelevent[.]org, dient dazu, den Exploit-Link in die Adresszeile einzufädeln, sodass die Anzeige wirkt wie ein offizieller Inhalt.
 
Soweit uns bekannt ist, sind alle bei der Attacke verwendeten IP-Adressen in der Ukraine beheimatet. Eine aktuelle Liste der infizierten Websites:
www[.]visitsaltlake[.]com
www[.]visitcumberlandvalley[.]com
www[.]visitmyrtlebeach[.]com
www[.]visithoustontexas[.]com
www[.]seemonterey[.]com
www[.]visitannapolis[.]org
www[.]bostonusa[.]com
www[.]visitokc[.]com/
www[.]tourismvictoria[.]com
www[.]trenton-downtown[.]com
UtahValley[.]com
www.visittucson[.]org
www[.]visitrochester[.]com
www[.]visitannapolis[.]org
www[.]southshorecva[.]com

Die Hosting-Anbieter dieser Websites wurden angeschrieben, insofern könnten einige der oben erwähnten bereits bereinigt worden sein.

* Jürgen Venhorst ist Director Mid Enterprise & Channel EMEA bei Proofpoint.

Twitter: choose like or share
LinkedIn: choose like or share
Google+ choose like or share
https://computerwelt.at/news/reiseziel-malware-touristen-durch-infizierte-reise-websites-gefahrdet/
RSS
Email
SOCIALICON

Mehr Artikel

Der Schlangenroboter kriecht dank Krigiami-Oberfläche.
News

Kriechender Schlangenroboter schafft 20 km/h

Schlangen und Kirigami, die japanische Papierschneidekunst, waren die Vorbilder für eine neuen geländegängigen Roboter. Wenn sich der Schlangenroboter streckt, verwandelt sich seine flache Kirigami-Oberfläche in eine 3D-Struktur, die sich wie eine Schlangenhaut an den Untergrund klammert und vorschiebt, ohne nach hinten wegzurutschen. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*