Bösartige iFrames auf 90.000 Webseiten

Der Schadcode soll auf über 90.000 Webseiten zu finden sein. Bei dem Schadcode handele es sich um eine “iFrame Injection” – die Seiten enthalten einen iFrame-Tag, der es ermöglicht, Inhalte von einem fremden Server zu laden, melden die Sicherheitsforscher von Armorize. Dies wird beispielsweise auch für das Einbetten von YouTube -Videos oder Scribd-Dokumenten genutzt. In diesem Fall spielt der iFrame aber kein Video ab, sondern startet einen Angriff auf den Client.

Besucht ein Anwender eine solchermaßen infizierte Seite, wird er von JavaScript-Umleitungen auf Seiten geführt, die seinem System Schadcode aufzuzwingen versuchen. Dazu fragen sie bekannte Sicherheitslücken ab. Weist der Rechner des Anwenders keine dieser Schwächen auf oder kann eine installierte Sicherheitslösung sie abwenden, wird kein Schadcode ausgeführt.

Um einen iFrame in fremde Webseiten einzubinden, gibt es mehrere Möglichkeiten. Zum einen können Webseiten verwundbar sein, wenn sie Eingaben nicht prüfen und es Angreifern ermöglichen, ihren Code zu ändern – in dem Fall also, einen iFrame einzufügen. Zum anderen kommt es auch vor, dass Kriminelle FTP-Zugangsdaten aufkaufen oder selbst mit Botnetzen abgreifen. Dann können sie sich regulär auf Webservern einloggen und ihren iFrame-Code in HTML-Dateien einfügen.

Die aktuelle Angriffswelle lässt sich daran erkennen, dass iFrame-Code auf die Domain willysy.com verweist. Eine manuelle Abwehrmaßnahme kann es sein, diese Domain der Schwarzen Liste des Browsers mit gesperrten Websites hinzuzufügen. Je nach Browser ist möglicherweise ein Plug-in erforderlich.

Der Schädling wird bislang nur von wenigen Antivirusprogrammen erkannt. Armorize macht keine Angaben, welche Schwachstellen die Angriffe auf die betroffenen Webseiten ausnutzen.