Suchen

Passwort-Diebstahl für Javascript-Masseninfektion verantwortlich Hacking mittels gestohlener FTP-Server-Logins statt Zero-Day-Exploits

| Redakteur: Stephan Augsten

Für den erfolgreichen Massenangriff auf mittlerweile über 40.000 Webseiten waren augenscheinlich keine Hacking-Techniken wie SQL Injection und Cross-Site-Scripting oder andere Schwachstellen erforderlich. Vielmehr geht der Security-Experte Websense davon aus, dass die Infektion mit bösartigem Javascript-Code auf gestohlene FTP-Zugangsdaten zurückzuführen ist.

Firma zum Thema

Gestohlene FTP-Zugangsdaten sind offensichtlich der Grund für die Javascript-Masseninfektion von 40.000 Webseiten.
Gestohlene FTP-Zugangsdaten sind offensichtlich der Grund für die Javascript-Masseninfektion von 40.000 Webseiten.
( Archiv: Vogel Business Media )

Entgegen der ursprünglichen Erwartung mussten sich die Urheber der aktuellen Website-Masseninfektion mit bösartigem Javascript-Code keiner Schwachstellen-Exploits bedienen. Wozu auch der Aufwand, wenn sich die Angreifer viel einfacher mit gestohlenen Nutzernamen und Passwörtern in den FTP-Bereich der Homepages einloggen können?

Nach aktuellem Stand gehen die Forscher der Websense Security Labs genau von diesem Vorgehen aus. Dann laut Stephen Chenette, Manager der Sicherheitsforschungsabteilung von Websense, „beinhaltet keine der […] kompromittierten Websites irgendeine verbreitete Komponente anfälliger Software.“

Innerhalb eines Monats ist dies schon das zweite Mal, dass Angreifer gestohlene FTP-Zugangsdaten für groß angelegte Website-Attacken nutzen. Im vergangenen Monat verbreitete sich die Malware Gumblar ebenfalls über schlecht geschützte FTP-Bereiche, nutzte darüber hinaus aber auch anfällige Web-Anwendungen und mangelhafte Konfigurationen. Beide Attacken sollten privaten wie geschäftlichen Website-Betreibern die Dringlichkeit effektiven Passwort-Managements vor Augen führen.

Masseninjektion betrifft vornehmlich kleine Webseiten

Scheinbar haben die Angreifer sich die FTP-Zugangsdaten mithilfe gefälschter Antivirus-Software und Keylogging-Trojaner verschafft. Ziel der Attacken sind dabei vor allem die Internet-Auftritte kleiner Unternehmen und Behörden sowie eher unbekannte Entertainment-Webseiten. Denn hier ist aufgrund des mangelnden technischen Wissens oder Security-Budgets der geringste Widerstand zu erwarten.

Trotz des geringen zu erwartenden Traffics sieht sich Websense nach eigenen Angaben in der Pflicht, die Eigentümer der kompromittierten Webseiten über die Javascript-Infektion zu informieren. Chenette zufolge versuchen bislang aber nicht alle Betreiber, den Besitzanspruch auf ihre Homepages geltend zu machen und weitere Sicherheitsmaßnahmen zu ergreifen.

Besucher der eigentlich vertrauenswürdigen Internet-Auftritte werden unwissentlich auf bösartige Webseiten umgeleitet. Diese versuchen wiederum, mithilfe einschlägiger Browser- und Web-Application-Schwachstellen einen Trojaner-Downloader auf dem Anwender-PC zu installieren.

Mögliche Opfer werden dabei über eine gefälschte Google-Analytics-Webseite identifiziert. Damit geraten Mitglieder eines russischen Business-Netzwerks als Urheber der Masseninjektion in Verdacht. Diese hatten mittels Typo-Squatting nämlich bereits mehrfach die Google Analytics Engine für ihre Angriffe genutzt.

(ID:2022249)