Dotka Chef Exploit Kit

Malware-Links in legitime Webseiten eingebettet

| Redakteur: Stephan Augsten

Zscaler mutmaßt, dass Hacktivisten der Gruppierung AnonGhost momentan Malware über das Dotka Chef Exploit Kit verbreiten.
Zscaler mutmaßt, dass Hacktivisten der Gruppierung AnonGhost momentan Malware über das Dotka Chef Exploit Kit verbreiten. (Bild: Zscaler)

Der Sicherheitsanbieter Zscaler ist bei Analysen vermehrt auf entstellte Websites gestoßen, die infolge der Manipulation das Dotka Chef Exploit Kit verbreiten. Zscaler vermutet, dass Hacktivisten hinter den Angriffen stecken, mehrere Indizien sprechen den Sicherheitsforschern zufolge dafür.

Im Rahmen der Untersuchung von Webseiten-Manipultaionen hat Zscaler immer wieder Links zu einer „lulz.htm“-Webseite registriert. Diese enthält verschleierten JavaScript-Code, der seinerseits auf eine Malware-Hosting-Seite verweist. Hier ist dann letztlich das Dotka Chef Exploit Kit hinterlegt.

Die aktuelle Variante des Dotka Chef Exploit Kits liefert einen bösartigen Payload aus, der auf eine aktuelle Schwachstelle mit der Kennung CVE-2014-6332 im Internet Explorer abzielt. Über diese Sicherheitslücke kann Code auf anfälligen Systemen ausgeführt werden, Microsoft hat mit dem Security Bulletin MS14-064 bereits einen Fix bereitgestellt.

Das Exploit Kit prüft, ob es sich bei dem anfälligen System um ein 32-Bit-Betriebssystem handelt. Darüber hinaus wird geprüft, ob es sich beim verwendeten Browser tatsächlich um den Internet Explorer handelt und welche Version installiert ist. Passen alle Faktoren zusammen, wird der Payload ausgeliefert.

Nach Auffassung von Zscaler sind Hacktivisten für die Angriffe verantwortlich, immerhin sei das Verunstalten von Webseiten, im Fachjargon ‚Defacement‘, ihre meistgenutzte Taktik. Als weiteres Indiz führen die Sicherheitsforscher an, dass Kontaktinformationen auf den entstellten Webseiten gefunden wurden.

Die hinterlegte Twitter-Kontaktseite spräche dafür, dass Mitglieder der Gruppierung „AnonGhostTeam“ hinter der Attacke steckten. Allerdings liegt es durchaus im Bereich des Möglichen, dass die Malware-Verbreiter nur unter dem Deckmantel der politischen Hacking-Vereinigung agieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43105226 / Malware)