Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


15.07.2014 Jürgen Venhorst*

Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet

Die Sicherheitsforscher von Proofpoint haben kürzlich entdeckt, dass eine große Anzahl an US-Reisewebsites infiziert worden war und dazu benutzt wurde, ein Exploit-Kit namens "Nuclear" zu verschicken.

Ein Klick reicht, dann ist Feuer am Dach.

Ein Klick reicht, dann ist Feuer am Dach.

© alphaspirit - Fotolia.com

Die befallenen Websites wurden mithilfe von Proofpoints Targeted Attack Protection Software ermittelt, nachdem einige Benutzer E-Mails mit Werbung von diesen Websites erhalten hatten, die Links zu infizierten Seiten enthielten. Die wahrscheinlich sehr effektive Kampagne macht sich viele Attribute zunutze, die für gewöhnlich mit Watering-Hole-Attacken in Verbindung gebracht werden – zumal es sich um offizielle Newsletter handelt, welche die Benutzer in der Regel abonniert haben.

Einige der Werbe-E-Mails bezogen sich auf Festtagsereignisse, wie beispielsweise in den USA den 4. Juli, während andere allgemeine Reiseempfehlungen enthielten. Die Hacker haben demnach ihre Aktionen mit der Sommerurlaubssaison und den üblicherweise damit verbundenen Marketingtätigkeiten abgestimmt.

Anfangs wurden ca. ein Dutzend betroffene Websites mit Reiseempfehlungen erkannt – und ständig werden es mehr. Besonders beängstigend ist der Umstand, dass es sich um stark frequentierte Websites mit hohem Aufkommen an "organischem" Datenverkehr handelt. In vielen Städten der USA bedeutet dies, dass jede Einzelperson, die nach touristischen Informationen stöbert, eine infizierte Website aufgerufen haben könnte.

So tritt beispielsweise in Google die Website "Myrtle Beach" (www[.]visitmyrtlebeach[.]com) an zweiter Stelle als Suchergebnis für "myrtle beach” auf – mit einem Alexa-Ranking von 79.296. Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit "Nuclear" freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind.  Im vorliegenden Fall versucht der Exploit, sofern er erfolgreich ist, mindestens drei Malware-Programme zu installieren:

  • Zemot – ein Downloader, der weitere Malware-Elemente herunterlädt und installiert.
  • Rovnix – ein hochentwickeltes Bootloader-/Rootkit, das die installierte Malware aufruft, sobald der PC gestartet wird, und dann sich selbst und andere Malware-Programme vor Erkennung schützt.
  • Fareit – ein weiterer Downloader, der ferner versucht, Zugangsdaten der Benutzer zu stehlen, und der bei DDOS-Attacken eingesetzt werden kann.


Für diese Attacke wurde zudem ein intelligenter Hostname für die Website gewählt, auf der das Exploit-Kit gehostet wurde. Was zunächst aussieht wie eine Website mit Reiseinhalten, ecom[.]virtualtravelevent[.]org, dient dazu, den Exploit-Link in die Adresszeile einzufädeln, sodass die Anzeige wirkt wie ein offizieller Inhalt.
 
Soweit uns bekannt ist, sind alle bei der Attacke verwendeten IP-Adressen in der Ukraine beheimatet. Eine aktuelle Liste der infizierten Websites:
www[.]visitsaltlake[.]com
www[.]visitcumberlandvalley[.]com
www[.]visitmyrtlebeach[.]com
www[.]visithoustontexas[.]com
www[.]seemonterey[.]com
www[.]visitannapolis[.]org
www[.]bostonusa[.]com
www[.]visitokc[.]com/
www[.]tourismvictoria[.]com
www[.]trenton-downtown[.]com
UtahValley[.]com
www.visittucson[.]org
www[.]visitrochester[.]com
www[.]visitannapolis[.]org
www[.]southshorecva[.]com

Die Hosting-Anbieter dieser Websites wurden angeschrieben, insofern könnten einige der oben erwähnten bereits bereinigt worden sein.

* Jürgen Venhorst ist Director Mid Enterprise & Channel EMEA bei Proofpoint.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr

Hosted by:    Security Monitoring by: