Dynamische Malware infiziert Webseiten

Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen. “Auch wenn die Hosting-Unternehmen sehr fleißig daran arbeiten, werden die Systeme immer wieder kompromittiert”, erklärte Mary Landesman, Sicherheitsforscherin bei ScanSafe.

“Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift”, ergänzte Landesman. Die Komplexität des Angriffes beruhe vor allem darauf, dass bisher noch nicht geklärt sei, wie die Systeme infiziert und nach einer Reinigung erneut befallen würden, so Landesman. Derzeit forscht ScanSafe zusammen mit Sicherheitsforschern von SecureWorks an diesem Problem.

Anfänglich sind die Forscher davon ausgegangen, dass ein Rootkit-artiges Kernelmodul für die Neuinfizierungen verantwortlich ist. Da aber bereits eine Reihe von Hostern die Apache-Kernel neu aufgebaut haben und trotzdem neu infiziert werden, scheint sich diese Theorie nicht zu bestätigen.

Nicht nur der Weg der Schadprogramme auf die Webseite ist dynamisch, sondern auch die Art und Weise, wie befallene Seiten die Schadprogramme weiterleiten. Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht. Dies erschwere die Erkennung für Virenscanner.

Zu den Namen der Hoster der schätzungsweise 230 betroffenen Webseiten wollte ScanSafe keine Angaben machen. Auch seien verlässliche Angaben über die tatsächliche Anzahl der manipulierten Seiten nicht möglich, da sich die betroffenen Seiten erst dann als infiziert zu erkennen geben, wenn sie ihren Schadcode an Besucher weitergeben. Außerdem seien die JavaScript-Dateien nach dem Besuch nicht mehr nachzuweisen.

“Ein Administrator, der seine Webseite nach Anzeichen für eine Infektion durchsuchen würde, würde keine finden”, warnte Landesman. “Wir wissen also nicht, wie viele Hosts infiziert sind.”

ScanSafe empfiehlt beunruhigten Unternehmen, Hinweise an die Besucher im Internet auszugeben und diese dazu zu ermutigen, JavaScript in ihrem Browser zu deaktivieren. Auch wenn dadurch die Web-Funktionalitäten deutlich eingeschränkt würden.

Silicon-Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

6 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

6 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago