Die Sicherheitsforscher von Proofpoint haben kürzlich entdeckt, dass eine große Anzahl an US-Reisewebsites infiziert worden war und dazu benutzt wurde, ein Exploit-Kit namens "Nuclear" zu verschicken. [...]
Die befallenen Websites wurden mithilfe von Proofpoints Targeted Attack Protection Software ermittelt, nachdem einige Benutzer E-Mails mit Werbung von diesen Websites erhalten hatten, die Links zu infizierten Seiten enthielten. Die wahrscheinlich sehr effektive Kampagne macht sich viele Attribute zunutze, die für gewöhnlich mit Watering-Hole-Attacken in Verbindung gebracht werden – zumal es sich um offizielle Newsletter handelt, welche die Benutzer in der Regel abonniert haben.
Einige der Werbe-E-Mails bezogen sich auf Festtagsereignisse, wie beispielsweise in den USA den 4. Juli, während andere allgemeine Reiseempfehlungen enthielten. Die Hacker haben demnach ihre Aktionen mit der Sommerurlaubssaison und den üblicherweise damit verbundenen Marketingtätigkeiten abgestimmt.
Anfangs wurden ca. ein Dutzend betroffene Websites mit Reiseempfehlungen erkannt – und ständig werden es mehr. Besonders beängstigend ist der Umstand, dass es sich um stark frequentierte Websites mit hohem Aufkommen an „organischem“ Datenverkehr handelt. In vielen Städten der USA bedeutet dies, dass jede Einzelperson, die nach touristischen Informationen stöbert, eine infizierte Website aufgerufen haben könnte.
So tritt beispielsweise in Google die Website „Myrtle Beach“ (www[.]visitmyrtlebeach[.]com) an zweiter Stelle als Suchergebnis für „myrtle beach” auf – mit einem Alexa-Ranking von 79.296. Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit „Nuclear“ freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind. Im vorliegenden Fall versucht der Exploit, sofern er erfolgreich ist, mindestens drei Malware-Programme zu installieren:
- Zemot – ein Downloader, der weitere Malware-Elemente herunterlädt und installiert.
- Rovnix – ein hochentwickeltes Bootloader-/Rootkit, das die installierte Malware aufruft, sobald der PC gestartet wird, und dann sich selbst und andere Malware-Programme vor Erkennung schützt.
- Fareit – ein weiterer Downloader, der ferner versucht, Zugangsdaten der Benutzer zu stehlen, und der bei DDOS-Attacken eingesetzt werden kann.
Für diese Attacke wurde zudem ein intelligenter Hostname für die Website gewählt, auf der das Exploit-Kit gehostet wurde. Was zunächst aussieht wie eine Website mit Reiseinhalten, ecom[.]virtualtravelevent[.]org, dient dazu, den Exploit-Link in die Adresszeile einzufädeln, sodass die Anzeige wirkt wie ein offizieller Inhalt.
Soweit uns bekannt ist, sind alle bei der Attacke verwendeten IP-Adressen in der Ukraine beheimatet. Eine aktuelle Liste der infizierten Websites:
www[.]visitsaltlake[.]com
www[.]visitcumberlandvalley[.]com
www[.]visitmyrtlebeach[.]com
www[.]visithoustontexas[.]com
www[.]seemonterey[.]com
www[.]visitannapolis[.]org
www[.]bostonusa[.]com
www[.]visitokc[.]com/
www[.]tourismvictoria[.]com
www[.]trenton-downtown[.]com
UtahValley[.]com
www.visittucson[.]org
www[.]visitrochester[.]com
www[.]visitannapolis[.]org
www[.]southshorecva[.]com
Die Hosting-Anbieter dieser Websites wurden angeschrieben, insofern könnten einige der oben erwähnten bereits bereinigt worden sein.
* Jürgen Venhorst ist Director Mid Enterprise & Channel EMEA bei Proofpoint.
Be the first to comment