Die G Data SecurityLabs haben eine große Anzahl an Websites entdeckt, die von Angreifern manipuliert wurden, um Besuchern zu schaden. Erfahren Sie mehr über die Details dieses komplexen Angriffs und einige einfache grundlegende Schritte, um die eigene Website zu schützen.
Der Code besteht entweder aus Klartext oder er ist codiert und demnach verschleiert.
Unsere Scanner haben diese Injektion als HTML:Script-inf erkannt und dementsprechend werden G DATA-Nutzer mit HTTP-Filter sofort gewarnt, wenn sie eine solche infizierte Website besuchen.
Das JavaScript wurde mit den unterschiedlichsten Namen auf verschiedenen Servern gefunden. Bei der Ausführung versucht das aktuellste Script Informationen über den Browser des Besuchers zu erhalten und stiehlt anschließend alle Sitzungs-Cookies aus den jeweiligen Verzeichnissen des Computers.
Die Scan-Engines von G DATA haben das aktuellste JavaScript als Trojan.JS.Iframe.BDV und JS:Iframe-FP [Trj] erkannt.
Ein Beispiel: Angenommen die Angreifer hätten den besagten Script-Code in eine Website mit Online-Shopping-Möglichkeiten injiziert. Ein ahnungsloser Besucher besucht die Website und meldet sich im Shop an, während das verknüpfte bösartige JavaScript ausgeführt wird. Die Angreifer können nun das Sitzungs-Cookie mit dem aktiven Shopping-Konto stehlen und als aktueller Besucher agieren. Sie können also Waren und dergleichen bestellen, ohne dass der Benutzer das bemerkt.
Tatsache ist, dass die Angreifer so ziemlich alles auf die gehackte Website hochladen können, solange für sie die Möglichkeit besteht, sich anzumelden. Es gibt vielfältige Möglichkeiten, für die die Angreifer den Server missbrauchen können. Sie können den Server z. B. dazu nutzen, um Weiterleitungs-Scripte zu injizieren oder Malware hochzuladen und den Server dementsprechend als Malware-Host einzusetzen usw.
Es gibt zahlreiche Möglichkeiten, wie sich die Angreifer Zugang zu Website-Management-Systemen verschaffen können. In letzter Zeit gab es zahlreiche Berichte zu ausgenutzten Sicherheitslücken in Content-Management-Systemen, die zu Code-Injektionen und gefährlichen Situationen geführt haben. Erinnern Sie sich an die tickende Zeitbombe auf gehackten WordPress-Seiten?
Viele der infizierten Seiten, die wir beobachtet haben, verwenden zwar beliebte kostenlose CMS-Lösungen wie WordPress oder Joomla, zahlreiche andere jedoch nicht. Deshalb vermuten wir, dass die Quelle allen Übels eine andere ist …
Nach unserem heutigen Wissensstand scheint es am wahrscheinlichsten zu sein, dass die Computer von Nutzern, die Websites verwalten, mit Passwortdiebstahl-Malware infiziert sind, die den Angreifern die notwendigen Daten (insbesondere FTP-Passwörter) bereitstellt, um sich Zugang zu den Websites zu verschaffen.
Wie wichtig es ist, seinen Computer effizient zu schützen, wurde bereits mehrfach erläutert, insbesondere aufgrund der Tatsache, dass ein infizierter Computer tausende weitere infizieren kann: Die Angreifer verschaffen sich Zugang zu Website-Management-Systemen und injizieren Code in die Websites, der den Nutzern Schaden zufügt.