Thema: Groß angelegter Angriff auf Web-Anwender im Gange

[SiLæncer]

Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt.

Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt.

Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

Quelle : www.heise.de

[SiLæncer]

Das Internet Storm Center hat eine Analyse von iDefense zu dem Web-Attack-Toolkit MPack und den derzeit stattfindenden Angriffen veröffentlicht. Demnach ist MPack das aktuellste und leistungsfähigste Tool, das aus dem russischen Untergrund stammt und für 500 bis 1000 US-Dollar verkauft wird. Der Autor des Tools soll Verisign zufolge den Käufern eine 45 bis 50 prozentige Wahrscheinlichkeit für erfolgreiche Angriffe versprechen. MPack hat eine integrierte Statistikfunktion, die seinen Meister über die Zahl der angegriffenen PCs und der Erfolgsquote der Infektionen informiert. In der Version 0.9 enthält MPack Exploits für die ANI-Lücke und Löcher in der MDAC-Funktion, dem Windows Media Player, der Microsoft Management Console, den XML-Funktionen, dem WebViewFolderIcon, QuickTime und WinZip.

Der Ausgangspunkt für die aktuellen Angriffe sollen hauptsächlich Seiten in Italien sein. Die für die Attacken notwendigen IFrames auf diesen Seiten wurden wahrscheinlich bei Einbrüchen in die Server eingebaut. Dabei soll eine Lücke in der Hosting-Konfigurationssoftware cPanel die Ursache sein: Beim Einbruch in einen Hosting-Server lassen sich gleich Hunderte von Auftritten kompromittieren und manipulieren. Bereits im Herbst des Jahres 2006 gab es einen Massenhack bei HostGator aufgrund einer Lücke in cPanel, in dessen Anschluß Besucher über die VML-Lücke im Internet Explorer 6 mit Trojanern verseucht wurden.

Sobald ein Opfer mit seinem PC eine präparierte Webseite besucht, lädt der Browser über den eingebauten IFrame weiteren Code vom MPack-Server nach. Dabei probiert das Angriffsmodul nach Analyse des Betriebssystems und Browsers mehrere Exploits durch, bis es Erfolg hat – oder die Exploits alle sind. Bei Erfolg installiert der Server einen Schädling auf dem PC. Ob MPack auch andere Systeme als Windows infizieren kann, schreibt iDefense nicht. Im Quellcode von MPack sind zumindest noch Weichen für andere Browser wie Firefox und Opera zu finden. Derzeit benutzt MPack nur bekannte Lücken, für die es bereits Updates zum Schließen gibt.

Bei einem der Schädlinge soll es sich um den Banking-Trojaner Torpig handeln. Laut iDefense stammt Torpig aus dem Russian Business Network (RBN), das derzeit Ausgangspunkt vieler Internet-basierter Angriffe ist. Der Stammsitz des RBN, das zudem im Phishing und der Verbreitung von Kinderpornographie tätig sein soll, soll in Sankt Petersburg liegen.

Quelle : www.heise.de