15. Juli 2014 Jürgen Venhorst*

Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet

Die Sicherheitsforscher von Proofpoint haben kürzlich entdeckt, dass eine große Anzahl an US-Reisewebsites infiziert worden war und dazu benutzt wurde, ein Exploit-Kit namens "Nuclear" zu verschicken. [...]

Die befallenen Websites wurden mithilfe von Proofpoints Targeted Attack Protection Software ermittelt, nachdem einige Benutzer E-Mails mit Werbung von diesen Websites erhalten hatten, die Links zu infizierten Seiten enthielten. Die wahrscheinlich sehr effektive Kampagne macht sich viele Attribute zunutze, die für gewöhnlich mit Watering-Hole-Attacken in Verbindung gebracht werden – zumal es sich um offizielle Newsletter handelt, welche die Benutzer in der Regel abonniert haben.

Einige der Werbe-E-Mails bezogen sich auf Festtagsereignisse, wie beispielsweise in den USA den 4. Juli, während andere allgemeine Reiseempfehlungen enthielten. Die Hacker haben demnach ihre Aktionen mit der Sommerurlaubssaison und den üblicherweise damit verbundenen Marketingtätigkeiten abgestimmt.

Anfangs wurden ca. ein Dutzend betroffene Websites mit Reiseempfehlungen erkannt – und ständig werden es mehr. Besonders beängstigend ist der Umstand, dass es sich um stark frequentierte Websites mit hohem Aufkommen an „organischem“ Datenverkehr handelt. In vielen Städten der USA bedeutet dies, dass jede Einzelperson, die nach touristischen Informationen stöbert, eine infizierte Website aufgerufen haben könnte.

So tritt beispielsweise in Google die Website „Myrtle Beach“ (www[.]visitmyrtlebeach[.]com) an zweiter Stelle als Suchergebnis für „myrtle beach” auf – mit einem Alexa-Ranking von 79.296. Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit „Nuclear“ freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind.  Im vorliegenden Fall versucht der Exploit, sofern er erfolgreich ist, mindestens drei Malware-Programme zu installieren:

  • Zemot – ein Downloader, der weitere Malware-Elemente herunterlädt und installiert.
  • Rovnix – ein hochentwickeltes Bootloader-/Rootkit, das die installierte Malware aufruft, sobald der PC gestartet wird, und dann sich selbst und andere Malware-Programme vor Erkennung schützt.
  • Fareit – ein weiterer Downloader, der ferner versucht, Zugangsdaten der Benutzer zu stehlen, und der bei DDOS-Attacken eingesetzt werden kann.

Für diese Attacke wurde zudem ein intelligenter Hostname für die Website gewählt, auf der das Exploit-Kit gehostet wurde. Was zunächst aussieht wie eine Website mit Reiseinhalten, ecom[.]virtualtravelevent[.]org, dient dazu, den Exploit-Link in die Adresszeile einzufädeln, sodass die Anzeige wirkt wie ein offizieller Inhalt.
 
Soweit uns bekannt ist, sind alle bei der Attacke verwendeten IP-Adressen in der Ukraine beheimatet. Eine aktuelle Liste der infizierten Websites:
www[.]visitsaltlake[.]com
www[.]visitcumberlandvalley[.]com
www[.]visitmyrtlebeach[.]com
www[.]visithoustontexas[.]com
www[.]seemonterey[.]com
www[.]visitannapolis[.]org
www[.]bostonusa[.]com
www[.]visitokc[.]com/
www[.]tourismvictoria[.]com
www[.]trenton-downtown[.]com
UtahValley[.]com
www.visittucson[.]org
www[.]visitrochester[.]com
www[.]visitannapolis[.]org
www[.]southshorecva[.]com

Die Hosting-Anbieter dieser Websites wurden angeschrieben, insofern könnten einige der oben erwähnten bereits bereinigt worden sein.

* Jürgen Venhorst ist Director Mid Enterprise & Channel EMEA bei Proofpoint.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*