Hoch entwickeltes Bootloader-/Rootkit
Reiseziel Malware: Touristen durch infizierte Reise-Websites gefährdet
Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit "Nuclear" freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind
Von Jürgen Venhorst, Director Mid Enterprise & Channel EMEA bei Proofpoint
(06.08.14) - Die Sicherheitsforscher von Proofpoint haben kürzlich entdeckt, dass eine große Anzahl an Reisewebsites infiziert worden war und dazu benutzt wurde, ein Exploit-Kit namens "Nuclear" zu verschicken. Die befallenen Websites wurden mithilfe von Proofpoints "Targeted Attack Protection"-Software ermittelt, nachdem einige Benutzer E-Mails mit Werbung von diesen Websites erhalten hatten, die Links zu infizierten Seiten enthielten. Die wahrscheinlich sehr effektive Kampagne macht sich viele Attribute zunutze, die für gewöhnlich mit Watering-Hole-Attacken in Verbindung gebracht werden zumal es sich um offizielle Newsletter handelt, welche die Benutzer in der Regel abonniert haben.
Einige der Werbe-E-Mails bezogen sich auf Festtagsereignisse, wie beispielsweise in den USA den 4. Juli, während andere allgemeine Reiseempfehlungen enthielten. Die Hacker haben demnach ihre Aktionen mit der Sommerurlaubssaison und den üblicherweise damit verbundenen Marketingtätigkeiten abgestimmt.
Anfangs wurden ca. ein Dutzend betroffene Websites mit Reiseempfehlungen erkannt und ständig werden es mehr. Besonders beängstigend ist der Umstand, dass es sich um stark frequentierte Websites mit hohem Aufkommen an "organischem" Datenverkehr handelt. In vielen Städten der USA bedeutet dies, dass jede Einzelperson, die nach touristischen Informationen stöbert, eine infizierte Website aufgerufen haben könnte.
So tritt beispielsweise in Google eine bestimmte Website an zweiter Stelle als Suchergebnis auf mit einem Alexa-Ranking von 79.296.
Sobald ein Benutzer irgendeine dieser Websites öffnete, wurde das Exploit Kit "Nuclear" freigesetzt, in dem verschiedene Exploits (z. B. für Java und Adobe Acrobat) integriert sind. Im vorliegenden Fall versucht der Exploit, sofern er erfolgreich ist, mindestens drei Malware-Programme zu installieren:
Zemot ein Downloader, der weitere Malware-Elemente herunterlädt und installiert.
Rovnix ein hoch entwickeltes Bootloader-/Rootkit, das die installierte Malware aufruft, sobald der PC gestartet wird, und dann sich selbst und andere Malware-Programme vor Erkennung schützt.
Fareit ein weiterer Downloader, der ferner versucht, Zugangsdaten der Benutzer zu stehlen, und der bei DDOS-Attacken eingesetzt werden kann.
Für diese Attacke wurde zudem ein intelligenter Hostname für die Website gewählt, auf der das Exploit-Kit gehostet wurde. Was zunächst aussieht wie eine Website mit Reiseinhalten, dient dazu, den Exploit-Link in die Adresszeile einzufädeln, sodass die Anzeige wirkt wie ein offizieller Inhalt.
Soweit uns bekannt ist, sind alle bei der Attacke verwendeten IP-Adressen in der Ukraine beheimatet. Die Hosting-Anbieter der infizierten Websites wurden angeschrieben. (Proofpoint: ra)
Proofpoint: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.