Drittanbieter-Werbung zur Verbreitung von Schadcode genutzt

Dotkachef Exploit Kit verbreitet sich über Ad-Server

| Redakteur: Stephan Augsten

Das Dotkachef Exploit Toolkit verbreitet sich momentan bevorzugt über anfällige Werbe-Komponenten.
Das Dotkachef Exploit Toolkit verbreitet sich momentan bevorzugt über anfällige Werbe-Komponenten. (Bild: Archiv)

Mit einer ebenso heimtückischen wie effektiven Methode verbreitet sich derzeit das erstmals 2013 aufgetauchte Exploit-Kit Dotkachef : Sicherheitsforscher der Websense Security Labs haben herausgefunden, dass eine neue Variante des Tools bekannte Schwachstellen in verschiedenen Adservern wie beispielsweise OpenX ausnutzt.

Anfällige Werbe-Server, die eigentlich als vertrauenswürdig eingestuft werden, werden immer wieder gerne als „Wirtskörper“ für Schadsoftware missbraucht. Derzeit verbreitet sich das erstmals Anfang 2013 registrierte Exploit-Kit über entsprechende Drittanbieter-Komponenten im Internet.

Zunächst einmal kompromittieren Angreifer den Adserver auf einer legitimen Webseite. Anschließend manipulieren sie eine oder mehrere Werbeanzeigen, indem sie verschleierten Code in die hinterlegte injizieren. Besonders einfach gestaltet sich dieser Vorgang, wenn sich die Anzeige direkt auf dem lokalen Server-System findet.

Der hinterlegte Schadcode lässt sich laut Websense schwierig identifizieren, weil er einerseits verschleiert wird („obfuscated code“). Darüber hinaus seien Ad-Server und ihre Inhalte besonders tief in der Pfadstruktur verankert und unterschieden sich kaum merklich von legitimen Elementen.

Infolge der Infektion verlinkt die Werbung auf eine URL, die ihrerseits einen verschleierten Redirect auf eine andere Webseite enthält. Auf diesen Umwegen wird der Websurfer bis zum Exploit-Kit umgeleitet, das nun über verschiedenen Wegen den Rechner infizieren kann.

Webseiten-Betreiber, die auf Adserver von Drittanbietern zurückgreifen, sollten diese Komponenten stets aktuell halten. Da die Angriffe über legitime Webseiten erfolgen, müssen Endanwender hingegen wohl oder übel auf die Leistungsfähigkeit ihrer Web-Security- und Antivirus-Lösungen vertrauen. Zusätzliche Sicherheit erreicht man durch Script-Blocker und erweiterte Browser-Konfigurationen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42522795 / Malware)