Angriff über Google-Suche Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.06.2009 Alex Wolschann

Angriff über Google-Suche

G Data meldet einen Angriff über Suchergebnisse bei Google. Bei Suchbegriffen haben sich manipulierte Links in den Suchlisten nach oben geschoben.

Die G Data Security Labs meldet einen groß angelegter Angriff über Suchergebnisse bei Google. Bei etlichen Suchbegriffen haben sich Seiten in den Ergebnislisten nach oben geschoben, die über manipulierte Links Schadcode einschleusen.

Je nach Suchanfrage bekommen die Surfer einen VideoCodec, pornografische Inhalte oder ein kostenloses Virenschutz-Programm angeboten. Wechselt der Anwender von Google zur jeweiligen Webseite, wir über Cross-Site-Scripting versucht, die Malware auf seinem System zu installieren. Der Standort des Malware-Servers befindet sich nach Recherchen der G Data Security Labs derzeit in Indien. Bei der aktuellen Welle haben es die Täter primär auf Anwender abgesehen, die im Internet auf der Suche nach pornografischen Inhalten sind. Nach Einschätzung des Bochumer Security-Herstellers könnte sich dies jederzeit ändern. Ins Fadenkreuz der Kriminellen könnten so beispielsweise schnell auch Sport-Fans, Auto-Freaks oder Jobsuchende geraten.

Ralf Benzmüller, Leiter G Data Security Labs, kommentiert diese Angriffe: " in den letzten Tagen beobachten wir einen starken Anstieg gefährlicher Google-Suchergebnisse. Möglicherweise sind nicht nur die deutschsprachigen Ableger von Google betroffen. Fast zehn Prozent der eingehenden Gefahrenmeldungen haben zurzeit direkt oder indirekt etwas mit manipulierten Google-Suchergebnissen zu tun. Bei der aktuellen Welle reicht ein falscher Klick aus, um Surfer in die Falle zu locken. Nur wenn die HTTP-Daten vor der Anzeige im Browser geprüft werden, ist der PC geschützt."

Die Angreifer versuchen den Schadcode zu verschleiern, indem sie den ASCII-Text durch Hexadezimal-Werte ersetzen. Hierdurch kann der Browser den Code immer noch einwandfrei verarbeiten. Für Menschen und Suchmaschinen wird er jedoch unleserlich. Diese Vorgehensweise ermöglicht es den Tätern, Google-Filter zu unterlaufen. In dem Hexadezimal-Code versteckt sich HTML-Code, der einen Angriff über Cross-Site-Scripting ausführt.

Die manipulierten Seiten werden von den Angreifern in Blogs, Foren und gecrackten Webseiten veröffentlicht und erhalten so eine gute Bewertung für die gewünschten Suchbegriffe. In einem Beispiel sieht es etwa so aus, als ob eine wenig genutzte Seite einer amerikanischen Universität so manipuliert wurde, dass bestimmte Suchbegriffe in Suchmaschinen weit oben erscheinen.

Der von der indischen Seite nachgeladene Script-Code ist hochgradig verschleiert. Die Seite wird bei dieser Vorgehensweise nicht statisch erzeugt, sondern es wird zwischen verschiedenen Infektionsmaschen unterschieden. Bei Tests stießen G Data-Experten auf infizierte Flash-Dateien, angebliche Video-Codecs und falsche Antiviren-Software. Die verschiedenen Maschen führten aber letztlich immer zum Download der gleichen Schaddatei. (AW/idg)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: