Dynamische Malware infiziert Webseiten

Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen. “Auch wenn die Hosting-Unternehmen sehr fleißig daran arbeiten, werden die Systeme immer wieder kompromittiert”, erklärte Mary Landesman, Sicherheitsforscherin bei ScanSafe.

“Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift”, ergänzte Landesman. Die Komplexität des Angriffes beruhe vor allem darauf, dass bisher noch nicht geklärt sei, wie die Systeme infiziert und nach einer Reinigung erneut befallen würden, so Landesman. Derzeit forscht ScanSafe zusammen mit Sicherheitsforschern von SecureWorks an diesem Problem.

Anfänglich sind die Forscher davon ausgegangen, dass ein Rootkit-artiges Kernelmodul für die Neuinfizierungen verantwortlich ist. Da aber bereits eine Reihe von Hostern die Apache-Kernel neu aufgebaut haben und trotzdem neu infiziert werden, scheint sich diese Theorie nicht zu bestätigen.

Nicht nur der Weg der Schadprogramme auf die Webseite ist dynamisch, sondern auch die Art und Weise, wie befallene Seiten die Schadprogramme weiterleiten. Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht. Dies erschwere die Erkennung für Virenscanner.

Zu den Namen der Hoster der schätzungsweise 230 betroffenen Webseiten wollte ScanSafe keine Angaben machen. Auch seien verlässliche Angaben über die tatsächliche Anzahl der manipulierten Seiten nicht möglich, da sich die betroffenen Seiten erst dann als infiziert zu erkennen geben, wenn sie ihren Schadcode an Besucher weitergeben. Außerdem seien die JavaScript-Dateien nach dem Besuch nicht mehr nachzuweisen.

“Ein Administrator, der seine Webseite nach Anzeichen für eine Infektion durchsuchen würde, würde keine finden”, warnte Landesman. “Wir wissen also nicht, wie viele Hosts infiziert sind.”

ScanSafe empfiehlt beunruhigten Unternehmen, Hinweise an die Besucher im Internet auszugeben und diese dazu zu ermutigen, JavaScript in ihrem Browser zu deaktivieren. Auch wenn dadurch die Web-Funktionalitäten deutlich eingeschränkt würden.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago