Opfer werden auf falsche Webseiten gelockt
Im Internet wurde ein Schädling ausgemacht, der den Inhalt von Googles Textanzeigen durch eigene Text-Annoncen ersetzt. Dadurch können Opfer auf Webseiten geleitet werden, die Schadcode bereitstellen. Auch Webseiten-Betreiber können die Leidtragenden sein, weil ihre gebuchte Werbung nicht mehr angeklickt wird.
Das Trojanische Pferd Trojan.Qhost.WU verändert die Host-Datei von Windows, berichten die Sicherheitsfachleute von BitDefender. Dadurch werden alle Anfragen für Googles AdServer abgefangen und die Opfer öffnen ohne es zu wollen Webseiten anderer Anbieter. Diese Art des Angriffs über die Modifikation der Host-Datei ist zwar nicht neu, aber bemerkenswert ist, dass Google-Textanzeigen im Fokus einer solchen Manipulation stehen.
Quelle : www.golem.de
Im vergangenen November nutzten Internet-Verbrecher die Beliebtheit von Google für einen massiven Malware-Angriff auf ahnungslose Suchmaschinen-Nutzer aus. Die präparierten Sites wurden dabei mittels Suchmaschinenoptimierung in den Ergebnislisten sehr weit oben aufgeführt. Alex Eckelberry, Chef der Sicherheitsfirma Sunbelt Software, erklärt, wie die Gauner vorgegangen sind.
In der westlichen Hemisphäre ist Internet-Suche nahezu gleichbedeutend mit Google. Das Quasi-Monopol in diesem Bereich macht das Unternehmen - analog zu Windows - immer interessanter für Internet-Verbrecher. Alex Eckelberry, CEO von Sunbelt Software, berichtet in einem Beitrag unserer Kollegen der PC World nun über einen massiven Malware-Angriff, bei dem die Betrüger Google für ihre Zwecke missbraucht haben.
Demnach begann der Angriff am 24. November 2007 und dauerte knapp eine Woche. Insgesamt haben die Angreifer laut Eckelberry dabei über 40.000 mit Malware gespickte Sites online gestellt und diese auf unverfängliche Suchbegriffe optimiert. Darunter beispielsweise Suchanfragen wie "Microsoft excel to access" oder "how to teach your dogs to fetch". In einem zweiten Schritt wurden diese Sites über ein Botnet beworben, indem die Zombie-Rechner automatisch in diversen Foren oder Blogs Links auf die verseuchten Sites setzten. Dies trug laut Eckelberry dazu bei, dass die Sites bei Google in den Ergebnislisten häufig auf der ersten Seite auftauchten.
Sobald ein Anwender über die Google-Suche zu einer solchen Site gelangte, wurde die übliche Malware-Maschinerie in Gang gesetzt. Dabei wurde laut Eckelberry versucht, diverse Sicherheitslücken auszunutzen, oder - falls der Rechner ansonsten keinen Angriffspunkt bot - auf Phishing, also das Abfragen persönlicher Informationen, gesetzt. "Es handelte sich um eine gewaltige Welle", sagte Eckelberry. Der Angriff markiere zugleich eine neue Stufe der Entwicklung, bei der verschiedene Techniken genutzt werden, um Malware-verseuchte Sites zu bewerben und Anwender in die Falle zu locken.
Auf den Angriff aufmerksam wurde der Sunbelt-Forscher Adam Thomas, als er auf der Suche nach einer Router-Firmware die Abfrage "netgear ProSafe DD-WRT" eintippte. Ihm kam bei den Ergebnissen der ersten Seite ein Link verdächtig vor. Weitere Nachforschungen ergaben dann, dass bei einer Vielzahl weiterer, unverfänglicher Anfragen, ähnliche Ergebnisse zu Tage traten.
Mittlerweile finden sich keine dieser Sites mehr in den Ergebnislisten von Google, auch wurden verseuchte Websites von Trittbrettfahrern mittlerweile geblockt. Wie Google dabei im Detail vorgegangen ist, ist allerdings nicht bekannt.
Erheblicher Planungsaufwand - speziell Google im Visier
Im Zusammenhang mit dieser Angriffswelle sind insbesondere drei Punkte hervorzuheben, die verdeutlichen, wie viel Planungsaufwand hinter der auf den ersten Blick lapidaren Attacke steckte. Da wäre erstens die Nutzung des Botnets zu nennen, um quasi die "dunklen Mächte" der Suchmaschinenoptimierung für ihre Zwecke zu nutzen. Diese Vorgehensweise wird auch "Google bombing" genannt. "Sie haben bei der Optimierung der Suchergebnisse mit Hilfe der Bots außergewöhnliche Arbeit geleistet", sagte Eckelberry.
Dann haben die Angreifer in den Sites einen speziellen Javascript Code implementiert, der dafür gesorgt hat, dass ausschließlich Anwender, die über Google auf die Websites gelangen, angegriffen werden. Anwender, die andere Suchmaschinen nutzten waren also sicher. "Dies war ein Weg, mit dem Finger auf Google zeigen zu können", urteilt Eckelberry. Welches Motiv hinter dieser Vorgehensweise steckt, ist nicht bekannt. Möglich wären Racheakte, oder der Versuch, auf die Marktmacht von Google zu verweisen.
Und drittens haben die Urheber des Angriffs weiteren Code in die Sites integriert, der dafür gesorgt hat, dass diese bei der Eingabe bestimmter Suchparameter nicht in den Google-Ergebnislisten auftauchten. Bei diesen Parametern handelte es sich im speziellen um Begriffe, die von Sicherheitsforschern (oder fortgeschrittenen Anwendern) verwendet werden. Als Beispiele nennt Eckelberry "inurl" und "site". Auf diese Weise haben die Angreifer offensichtlich versucht, die verseuchten Sites so lange wie möglich vor erfahrenen Anwendern und Profis zu verstecken und sich auf unerfahrene Anwender zu stürzen.
Die Ausnutzung von Maßnahmen zur Suchmaschinenoptimierung kann aber nicht nur für die Verbreitung von Malware genutzt werden. So wurde beispielsweise vor einiger Zeit die Website von Al Gore gehackt und im Quellcode mit einem Link auf eine Online-Apotheke versehen, um dieser eine höhere Bewertung durch Google zu verschaffen. Laut dem Sicherheits-Chef von Whitehat Security ist ein solches Vorgehen bares Geld wert. So soll der erste Platz beim Suchbegriff "buy Viagra online" monatlich 50.000 Dollar wert sein.
Wie Sie sich vor derartigen Angriffen schützen
Trotz des massiven Angriffs über Google, der mit Sicherheit auch nicht der letzte sein wird, raten die Sicherheitsforscher nicht davon ab, Google zu nutzen. Allerdings sollten Sie ein wenig Vorsicht walten lassen, was beim Surfen aber grundsätzlich kein schlechter Ratschlag ist. Da derartige Websites in der Regel bekannte Sicherheitslücken abfragen, empfiehlt es sich logischerweise, den Rechner immer auf dem aktuellen Stand zu halten. Dabei reicht es aber nicht, lediglich Windows und dem Internet Explorer Updates zu spendieren, auch andere Anwendungen wie beispielsweise Apple Quicktime sollten wenn möglich über eine automatische Update-Funktion fortwährend aktualisiert werden. Zudem sollten Anwender auch an die Programme denken, die eine solche Automatik nicht bieten, etwa Winzip.
Doch selbst wenn auf dem Rechner alle Updates installiert sind, müssen die Augen weiter offen gehalten werden. Beispielsweise versuchen die Angreifer, Anwendern vorgebliche Video-Codecs unterzuschieben, in Wirklichkeit installiert sich ein Malware.
Und bei Suchergebnislisten ist es hilfreich, sich den beschreibenden Text zu einer Site genauer anzusehen. Werden dort massenhaft Schlüsselbegriffe zusammenhanglos aufgelistet, etwa "vpn passthrough sting maphack light Motorola", sollte man von dem Besuch einer solchen Site absehen. Auch der Link selbst kann sehr aufschlussreich sein. So ist etwa eine seltsame Namensgebung wie "leuwusxrijke.cn/769.html" bereits ein Alarmzeichen.
Quelle : www.pcwelt.de
Von ca. 15.30 bis 16.15 Uhr hat Google heute bei allen Suchergebnissen auf eine Warnseite umgeleitet, die vor Malware warnt. Betroffen war sowohl die deutsche Suche unter google.de als auch die US-Version google.com. Der Spuk war nur von kurzer Dauer, anscheinend ist jetzt wieder alles in Ordnung.
(http://www.heise.de/bilder/126681/0/0)
Für kurze Zeit warnte Google bei allen Suchtreffern vor Malware
Quelle : www.heise.de