Malware auf vertrauenswürdigen Webseiten explodiert

Scansafe hat innerhalb des letzten Jahres einen dramatischen Anstieg von Malware auf Webseiten beobachtet. Durch Methoden wie SQL-Injection-Angriffe sind immer häufiger vermeintlich vertrauenswürdige Webseiten verseucht. “Im letzten Jahr sind Malware-Autoren von direkten Angriffen zu indirekten Attacken durch kompromittierte Webseiten übergegangen”, meint Mary Landesman, ScanSafe Senior Security Researcher.

Konkret stammten im Mai dieses Jahres über zwei Drittel der für Scansafe-Kunden blockierten webbasierte Malware von legitimen Webseiten. Dies sei eine Steigerung von über 407 Prozent gegenüber dem Mai 2007. Grundlage des Vergleichs seien die über zehn Milliarden Scans, die monatlich für Unternehmenskunden durchgeführt werden.

Wesentlich für das gestiegene Risiko im Web verantwortlich sind laut ScanSafe Massenangriffe, die bösartige Skripte oder Iframes in Webseiten einschleusen, um so heimlich Malware zu verbreiten. “Die Kompromittierungstechniken, die jetzt genutzt werden, erlauben Hackern schnell tausende vertrauenswürdige Seiten zu ‘kolonisieren'”, beschrieb Landesman. Besonders SQL-Injection-Angriffe, wie sie seit Ende Oktober 2007 laufend beobachtet würden, seien dafür verantwortlich zu machen, dass das Web im Mai 2008 von kompromittierten Webseiten durchlöchert war. Diese Form des Angriffs hat in diesem Frühjahr viel Aufmerksamkeit erregt, als auch der AV-Anbieter Trend Micro zu den Opfern zählte. Eine weitere sehr erfolgreiche Angriffsserie habe gestohlene FTP-Legitimationen genutzt, so ScanSafe. Besonders Malware, die Hintertüren öffnet oder Passwörter stiehlt, werde verbreitet. Das Aufkommen solcher Schadprogramme sei gegenüber dem Vorjahr um 855 Prozent gestiegen und bedeute ein hohes Risiko für sensible Unternehmensdaten.

Die Massenkompromittierung von Webseiten verspreche Angreifern hohe Gewinne, so Landesman. Das liegt an der hohen Zahl an Nutzern, die schon über eine einzelne verseuchte Webseite infiziert werden können. Dabei werde das implizite Vertrauen in bekannte Markennamen missbraucht. Als Beispiel einer Webseite, die im Mai 2008 von einem Angriff betroffen war, führt die Expertin Nature.com an. Die Seite lockt geschätzte 877.000 unterschiedliche Nutzer pro Monat an. Zwar sei das Problem schnell behoben worden, doch hätte der eingeschleuste Code an nur einem einzelnen Tag rund 30.000 ahnungslose Nutzer mit Malware infizieren können.

Andere namhafte Webseiten, die im Mai dieses Jahres verseucht gewesen seien, umfassen laut ScanSafe unter anderem Photopass.com und Webster.edu. “Derzeit werden täglich tausende legitime Webseiten kompromittiert”, warnte Landesman abschließend.