Bildersuche mit Scareware-Links durchsetzt


Wie der der US-Journalist Brian Krebs berichtet, sind schon
seit mehreren Wochen vergiftete Suchergebnisse bei Images zu finden. Ein Klick
auf eines der durch die Suche ausgegebenen Vorschaubilder führt zu Seiten, die
auf bekanntem Weg Scareware, also gefälschte Antivirensoftware, verbreiten
wollen: Direkt nach dem Öffnen der Site wird eine schrille Warnmeldung
angezeigt, dass der PC des potentiellen Opfers mit Malware infiziert sei.
Gleichzeitig wird ein Download angeboten, der das Problem lösen soll. So
wandert die kostenpflichtige, aber nutzlose Antivirensoftware auf den Rechner.
Wie Krebs schreibt, wurde ihm von Lesern seines Blogs von diesen vergifteten
Ergebnissen berichtet.

Inzwischen warnt
auch das SANS Institute
vor den Attacken. In ihrem Blogbeitrag erklären die
SANS-Experten, wie die Suchergebnisse manipuliert werden: Die Angreifer
infizieren zuvor im großen Stil an sich legitime Webseiten mit Skripten. Diese
Skripte erzeugen automatisch neue Seiten, in denen die gerade am häufigsten
gesuchten Begriffe massenhaft auftauchen. So rutschen die – aus Sicht des
Suchenden sinnlosen – Seiten immer weiter nach oben in der Liste der Ergebnisse.
Gleichzeitig laden die Skripte noch Bilder von anderen Webseiten herunter, die
zu den Suchbegriffen passen und integrieren diese in die Ergebnisse. Auf diese
Weise fallen die gefälschten Ergebnisse nicht negativ auf zwischen den nicht
manipulierten Suchresultaten.

Krebs zitiert in seinem Beitrag einen der SANS-Forscher, der
erklärt, wie der weitere Angriff von statten geht: Klickt ein Nutzer auf eines
der Vorschaubilder, wird er zum infizierten Server weitergeleitet. Dort wird
dessen Browser zu einer anderen Site weitergeleitet, von der dann die
eigentliche Schadsoftware herunter geladen wird.

Der russische IT-Sicherheitsexperte Denis Sinegubko hat
anhand von Logdateien ermittelt, wie erfolgreich die Malwarekampagne bisher
war. Die Logs stammen von zuvor infizierten legitimen Servern. Sinegubko geht
davon aus, dass 5000 Server infiziert und auf jedem von diesen knapp 1000
Seiten mit beliebten Suchbegriffen erzeugt wurden. Nachdem die Seiten im
Schnitt alle zehn Tage einen Besucher haben, ergibt das pro Monat 15 Millionen
potentielle Infektionen.

Der Malwareforscher führt anhand eines Beispiels aus, wie
erfolgreich die Angriffe sind: Ein kroatischer Server hatte vor der Infektionen
einen Page-Rank von Null und rangierte damit ganz weit hinten bei den
Suchergebnissen. Durch das automatische Einstreuen der Suchbegriffe landeten
die indexierten Seiten weiter oben, so dass binnen fünf Wochen über 140 000
nichts ahnende Anwender zu den Scareware-Servern weiter geschickt wurden. Wie
der SANS-Beitrag ausführt, funktioniert automatisches Markieren von potentiell
gefährlichen Links (noch) nicht bei der Bildersuche. Von daher können nichts
ahnende Nutzer nicht erkennen, ob ein Link bösartig ist oder nicht.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)