“Die ganze Malware liegt im Web”

Internetnutzer sehen sich mit einer veränderten Bedrohungslandschaft konfrontiert. Moderne Cybercrime-Profis setzen auf die Verteilung von Malware per Web – ob durch infizierte Webseiten, Social Hacking oder den Versand von Links in E-Mails.

“Der Versand von Viren und Würmern war gestern. Die ganze Malware liegt im Web”, beschreibt Rainer Link, Senior Security Specialist Anti-Malware bei Trend Micro die Situation. “Diese Ära der Web-Bedrohungen wird nicht plötzlich zu Ende gehen, da sie für die kriminelle Seite viele Vorteile hat”, so Link. Die Anbieter von Sicherheitslösungen, aber auch unabhängige Tester, seien gefordert, sich auf eine explodierende Anzahl von Schädlingen, die über das Web verbreitet werden, und im Infektionsfall meist weitere Malware nachladen, einzustellen.

Die Bedrohung hat viele Gesichter. Stark verbreitet sind Manipulationen von Webseiten, um Nutzern Malware unterzuschieben. “Mit SQL-Injection können einfach sehr viele Webseiten betroffen werden”, begründet Link, weshalb diese Methode sehr attraktiv für Angreifer ist. Doch auch Social-Hacking-Attacken finden zunehmend über das Web statt, beispielsweise in Form von Seiten, die vermeintliche Video-Codecs anpreisen.

“Vor kurzem wurde die Webseite von Ikea Deutschland sehr gut nachgebaut”, nennt der Experte ein anderes Beispiel. Ein Link zur Seite sei bei Google platziert worden, um Malware als angebliches Plug-in zu verbreiten. Außerdem habe das Web den E-Mail-Anhang weitgehend abgelöst. “Die Malware ist nicht mehr als Attachment in E-Mails enthalten, sondern es werden URLs zu Malware-Seiten verschickt”, beschreibt Link. Die inzwischen bekannte Weisheit, nicht jeden Anhang zu öffnen, müsse ergänzt werden: “Klicke nicht auf jede URL.”

Für die Angreifer bietet die Malware im Web den Vorteil, dass Updates der Schadsoftware auf dem verteilenden Server ganz einfach sind. Auf infizierten Computern wiederum können Schädlinge heutzutage leicht Updates und zusätzliche Malware über das Internet nachladen. Dadurch wird es für die Sicherheitsanbieter immer schwieriger, Pattern-Dateien zur Erkennung von Schädlingen aktuell zu halten. Auch Säuberungs-Routinen für Infektionen könnten durch Änderungen an der Malware oder Unterschiede zwischen Systemen nicht immer ordentlich greifen, so Link.

Die meisten Anbieter arbeiten deshalb inzwischen an proaktiven Behavioral-Detection-Ansätzen, die unbekannte Malware am Verhalten erkennen sollen. Besonders wichtig ist hier laut Link die Zusammenarbeit von AV-Anbietern und Testlaboren im Rahmen der “Anti Malware Testing Standards Organisation“.