Dynamische Malware infiziert Webseiten

Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen. “Auch wenn die Hosting-Unternehmen sehr fleißig daran arbeiten, werden die Systeme immer wieder kompromittiert”, erklärte Mary Landesman, Sicherheitsforscherin bei ScanSafe.

“Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift”, ergänzte Landesman. Die Komplexität des Angriffes beruhe vor allem darauf, dass bisher noch nicht geklärt sei, wie die Systeme infiziert und nach einer Reinigung erneut befallen würden, so Landesman. Derzeit forscht ScanSafe zusammen mit Sicherheitsforschern von SecureWorks an diesem Problem.

Anfänglich sind die Forscher davon ausgegangen, dass ein Rootkit-artiges Kernelmodul für die Neuinfizierungen verantwortlich ist. Da aber bereits eine Reihe von Hostern die Apache-Kernel neu aufgebaut haben und trotzdem neu infiziert werden, scheint sich diese Theorie nicht zu bestätigen.

Nicht nur der Weg der Schadprogramme auf die Webseite ist dynamisch, sondern auch die Art und Weise, wie befallene Seiten die Schadprogramme weiterleiten. Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht. Dies erschwere die Erkennung für Virenscanner.

Zu den Namen der Hoster der schätzungsweise 230 betroffenen Webseiten wollte ScanSafe keine Angaben machen. Auch seien verlässliche Angaben über die tatsächliche Anzahl der manipulierten Seiten nicht möglich, da sich die betroffenen Seiten erst dann als infiziert zu erkennen geben, wenn sie ihren Schadcode an Besucher weitergeben. Außerdem seien die JavaScript-Dateien nach dem Besuch nicht mehr nachzuweisen.

“Ein Administrator, der seine Webseite nach Anzeichen für eine Infektion durchsuchen würde, würde keine finden”, warnte Landesman. “Wir wissen also nicht, wie viele Hosts infiziert sind.”

ScanSafe empfiehlt beunruhigten Unternehmen, Hinweise an die Besucher im Internet auszugeben und diese dazu zu ermutigen, JavaScript in ihrem Browser zu deaktivieren. Auch wenn dadurch die Web-Funktionalitäten deutlich eingeschränkt würden.

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

20 Stunden ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

21 Stunden ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago