Suchen

Dotka Chef Exploit Kit Malware-Links in legitime Webseiten eingebettet

| Redakteur: Stephan Augsten

Der Sicherheitsanbieter Zscaler ist bei Analysen vermehrt auf entstellte Websites gestoßen, die infolge der Manipulation das Dotka Chef Exploit Kit verbreiten. Zscaler vermutet, dass Hacktivisten hinter den Angriffen stecken, mehrere Indizien sprechen den Sicherheitsforschern zufolge dafür.

Firmen zum Thema

Zscaler mutmaßt, dass Hacktivisten der Gruppierung AnonGhost momentan Malware über das Dotka Chef Exploit Kit verbreiten.
Zscaler mutmaßt, dass Hacktivisten der Gruppierung AnonGhost momentan Malware über das Dotka Chef Exploit Kit verbreiten.
(Bild: Zscaler)

Im Rahmen der Untersuchung von Webseiten-Manipultaionen hat Zscaler immer wieder Links zu einer „lulz.htm“-Webseite registriert. Diese enthält verschleierten JavaScript-Code, der seinerseits auf eine Malware-Hosting-Seite verweist. Hier ist dann letztlich das Dotka Chef Exploit Kit hinterlegt.

Die aktuelle Variante des Dotka Chef Exploit Kits liefert einen bösartigen Payload aus, der auf eine aktuelle Schwachstelle mit der Kennung CVE-2014-6332 im Internet Explorer abzielt. Über diese Sicherheitslücke kann Code auf anfälligen Systemen ausgeführt werden, Microsoft hat mit dem Security Bulletin MS14-064 bereits einen Fix bereitgestellt.

Das Exploit Kit prüft, ob es sich bei dem anfälligen System um ein 32-Bit-Betriebssystem handelt. Darüber hinaus wird geprüft, ob es sich beim verwendeten Browser tatsächlich um den Internet Explorer handelt und welche Version installiert ist. Passen alle Faktoren zusammen, wird der Payload ausgeliefert.

Nach Auffassung von Zscaler sind Hacktivisten für die Angriffe verantwortlich, immerhin sei das Verunstalten von Webseiten, im Fachjargon ‚Defacement‘, ihre meistgenutzte Taktik. Als weiteres Indiz führen die Sicherheitsforscher an, dass Kontaktinformationen auf den entstellten Webseiten gefunden wurden.

Die hinterlegte Twitter-Kontaktseite spräche dafür, dass Mitglieder der Gruppierung „AnonGhostTeam“ hinter der Attacke steckten. Allerdings liegt es durchaus im Bereich des Möglichen, dass die Malware-Verbreiter nur unter dem Deckmantel der politischen Hacking-Vereinigung agieren.

(ID:43105226)