Am letzten Wochenende wurde einige 1000 europäische Webserver (hauptsächlich in Italien) dazu missbraucht, nichtsahnenden Besuchern, Malicious Code unterzujubeln.
Dabei handelte es sich hauptsächlich um harmlose Websites wie Reise-/Touristik- oder Kino-Seiten.
In den entsprechenden Webseiten wurde eine I-Frame eingefügt, der von einem weitereen Server bösartigen Code nachgeladen hat. Auf diesem Server wurde das Web-Exploit-Toolkit MPACK ausgeführt, das automatisch Betriebssystem und Browser des Oper-Rechners erkennt und auf bekannte Sicherheitslücken und Schwachstellen untersucht. Dabei konzentriert sich das Tool nicht nur auf den Internet Explorer, sondern versucht ebenso ungepatchte Lücken in anderen Browsern wie Firefox oder Anwendungen wie QuickTime etc. auszunutzen.
Offensichtlich wird versucht auf diese Weise an eine große Menge von Bankkonto-Zugangsdaten etc. zu gelangen. Außerdem wird ein Keylogger installiert, um vertrauliche Daten auszuspähen.
Man geht davon aus, dass bereits mehrere 10000 Rechner infiziert wurden.
Wieviel materieller Schaden bereits angerichtet wurde, ist nicht bekannt.
Einige Anbieter von Sicherheitslösungen haben zeitnah über die Epidemie/Attacke berichtet und scheinen sich über die Tragweite des Web Threat Angriffs bewußt zu sein (
Websense,
Trend Micro), die Mehrzahl der Anbieter scheint jedoch überfordert, um adequat darauf zu reagieren zu können geschweige denn pro-aktive Schutzmaßnahmen anbieten zu können.
Diese Attacke, im Blog von
Trend Micro wird sie schlicht "The Italian Job" genannt, ist ein deutlicher Beweis, welchen Schaden Web Threats anrichten können und welchen Stellenwert sie in zukünftigen Sicherheitsüberlegungen spielen müssen.
Labels: internet security, italian job, keylogger, MPACK, web threats
