Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen. “Auch wenn die Hosting-Unternehmen sehr fleißig daran arbeiten, werden die Systeme immer wieder kompromittiert”, erklärte Mary Landesman, Sicherheitsforscherin bei ScanSafe.
“Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift”, ergänzte Landesman. Die Komplexität des Angriffes beruhe vor allem darauf, dass bisher noch nicht geklärt sei, wie die Systeme infiziert und nach einer Reinigung erneut befallen würden, so Landesman. Derzeit forscht ScanSafe zusammen mit Sicherheitsforschern von SecureWorks an diesem Problem.
Anfänglich sind die Forscher davon ausgegangen, dass ein Rootkit-artiges Kernelmodul für die Neuinfizierungen verantwortlich ist. Da aber bereits eine Reihe von Hostern die Apache-Kernel neu aufgebaut haben und trotzdem neu infiziert werden, scheint sich diese Theorie nicht zu bestätigen.
Nicht nur der Weg der Schadprogramme auf die Webseite ist dynamisch, sondern auch die Art und Weise, wie befallene Seiten die Schadprogramme weiterleiten. Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht. Dies erschwere die Erkennung für Virenscanner.
Zu den Namen der Hoster der schätzungsweise 230 betroffenen Webseiten wollte ScanSafe keine Angaben machen. Auch seien verlässliche Angaben über die tatsächliche Anzahl der manipulierten Seiten nicht möglich, da sich die betroffenen Seiten erst dann als infiziert zu erkennen geben, wenn sie ihren Schadcode an Besucher weitergeben. Außerdem seien die JavaScript-Dateien nach dem Besuch nicht mehr nachzuweisen.
“Ein Administrator, der seine Webseite nach Anzeichen für eine Infektion durchsuchen würde, würde keine finden”, warnte Landesman. “Wir wissen also nicht, wie viele Hosts infiziert sind.”
ScanSafe empfiehlt beunruhigten Unternehmen, Hinweise an die Besucher im Internet auszugeben und diese dazu zu ermutigen, JavaScript in ihrem Browser zu deaktivieren. Auch wenn dadurch die Web-Funktionalitäten deutlich eingeschränkt würden.
Seit Januar 2025 überführt REWE digital schrittweise 73 neue SAP-Systeme in die Google Cloud.
Dank cleverer KI-Lösung sparen die Stadtwerke Karlsruhe bis zu 40 Prozent Strom bei der Kälteerzeugung…
Die unberechtigte Übernahme von Domains durch Dritte kann ernstzunehmende Folgen für Markenführung, Cybersecurity und Business…
Landesverwaltung wendet sich konsequent von Microsoft ab und setzt künftig auf Open Source Software.
In einer zunehmend digitalisierten Welt wird Cybersicherheit zu einer der zentralen Herausforderungen für Unternehmen aller…
Das Karlsruher Institut für Technologie hat ein Verfahren vorgestellt, das klassische Kryptografie-Verfahren und herkömmliche Hardware…
