Malware Darkleech nutzt tausende Apache-Server zum Angriff auf Webnutzer

SicherheitVirus
(Bild: Shutterstpock: Andrea Danti)

Darkleech installiert sich auf Apache-Servern. Die Malware verändert legitime und eigentlich harmlose Websites. Von ihnen aus sucht das Exploit-Kit Blackhole nach Schwachstellen in Browsern und Browser-Plug-ins der Besucher. Eset hat bereits 40.000 kompromittierte IP-Adressen und Domains aufgespürt.

Die auf der Malware Darkleech basierende Angriffswelle auf Apache-Webserver hat offenbar weitreichendere Folgen als bisher angenommen. IT-Security-Anbieter Eset berichtet von 40.000 kompromittierte IP-Adressen und Domains, die Schadsoftware an ihre Besucher verteilen. Bisher waren die Sicherheitsforscher von etwa 2000 durch Darkleech kompromittierten IP-Adressen ausgegangen.

(Bild: Shutterstpock: Andrea Danti)

“Die Situation ist tatsächlich sehr viel schlimmer geworden”, hat Eset mitgeteilt. “Nach den von uns erfassten Daten wurden bislang mehr als 40.000 verschiedene IP-Adressen und Domains benutzt. Allein im Mai haben 15.000 dieser IPs und Domains aktiv Blackhole ausgeliefert.”

Einmal auf einem Apache-Server installiert modifiziert Darkleech zuvor harmlose Websites so, dass sie Rechner der Besucher durch Schadsoftware gefährden. Diese Aufgabe übernimmt das Exploit-Kit Blackhole. Dieses sucht nach Schwachstellen im Browser des Besuchers sowie den Browser-Plug-ins. Findet es welche, kann auf diese Weise beispielsweise die Erpresser-Malware “Nymain” verteilt werden, die Dateien auf der Maschine des Opfers verschlüsselt und ein Lösegeld von 300 Dollar für die Entschlüsselung fordert.

Auch Ars Technica berichtete bereits von rund 20.000 Apache-Websites, die innerhalb weniger Wochen mit Darkleech infiziert wurden – darunter die Sites von The Los Angeles Times, Seagate und anderen Unternehmen. Diese Server fügten ein iFrame in die ausgelieferten Webseiten ein, um ihre Opfer zu einer mit Blackhole präparierten Website umzuleiten. Die Web-Malware fiel auch durch die gezielte Auswahl der Opfer auf. Laut Eset erfolgen die Attacken nur auf Besucher, die Internet Explorer nutzten oder Oracles Java-Plug-in aktiviert hatten.

Eine weitere Raffinesse von Darkleech ist, dass es IP-Adressen von Sicherheits- und Hostingfirmen übergeht, um nicht deren Aufmerksamkeit zu erregen. Die Malware attackiert Opfer zudem nur einmal und konzentriert sich auf Besucher, die mit bestimmten Suchanfragen auf die befallenen Seiten zugreifen.

Noch immer besteht keine Gewissheit, wie Darkleech die Apache-Server überhaupt kompromittieren kann. Vermutungen laufen darauf hinaus, dass sie undokumentierte Schwachstellen in den Konfigurationstools CPanel oder Plesk ausnutzen, die Administratoren zur Fernverwaltung von Sites dienen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen