Verseuchte Apache-Web-Server infizieren Web-Besucher

Funktionsweise von Darkleech und Blackhole. Quelle: Eset

Die Malware Darkleech soll laut Antivirensoftware-Anbieter Eset inzwischen auf Zehntausenden Webadressen zu finden sein. Diese Adressen wiederum infizieren Besucher dieser Web-Seiten. Zunächst waren die Sicherheitsforscher von nur etwa 2000 IP-Adressen ausgegangen.

“Die Situation hat sich drastisch verschlechtert”, so das Unternehmen mit. “Nach den von uns erfassten Daten wurden bislang mehr als 40.000 verschiedene IP-Adressen und Domains benutzt. Allein im Mai haben 15.000 dieser IPs und Domains aktiv Blackhole ausgeliefert.”

Angreifer installieren das bösartige Apache-Modul Darkleech auf kompromittierten Servern. Die Malware modifiziert dann zuvor harmlose Websites so, dass diese den Besucher durch Schadsoftware gefährden. Diese Aufgabe übernimmt das Exploit-Kit Blackhole, das relativ einfach auszunutzen ist. Das Kit sucht nach Schwachstellen im Webbrowser des Besuchers sowie den Browser-Plug-ins, um ihre Rechner unbemerkt zu infizieren. Auf diese Weise kann beispielsweise die Erpresser-Malware “Nymain” zum Einsatz kommen, die Dateien auf der Maschine des Opfers verschlüsselt und ein Lösegeld von 300 Dollar für ihre Entschlüsselung fordert.

Auch Ars Technica berichtete zuvor von geschätzten 20.000 Apache-Websites, die innerhalb weniger Wochen mit Darkleech infiziert wurden – darunter die Sites von The Los Angeles Times, Seagate und anderen reputierlichen Unternehmen. Diese Websites fügten ein iFrame in die ausgelieferten Webseiten ein, um ihre Opfer zu einer mit Blackhole präparierten Website umzuleiten. Die Web-Malware fiel auch durch die gezielte Auswahl ihrer anzugreifenden Opfer auf. Laut Eset erfolgen die Attacken nur auf Besucher, die auf Microsofts Internet Explorer vertrauten oder Oracles Java-Plug-in aktiviert hatten.

Eine weitere Raffinesse von Darkleech besteht darin, dass es IP-Adressen von Sicherheits- und Hostingfirmen übergeht, um deren Aufmerksamkeit zu vermeiden. Die Malware attackiert auch nicht die gleichen Opfer erneut und konzentriert sich auf Besucher, die mit bestimmten Suchanfragen auf die befallenen Seiten zugreifen. Noch immer besteht keine Gewissheit, wie Darkleech die Apache-Server überhaupt kompromittieren kann. Gängige Vermutungen laufen darauf hinaus, dass sie undokumentierte Schwachstellen in den Konfigurationstools CPanel oderPlesk ausnutzen, die Administratoren zur Fernverwaltung von Sites dienen.

[mit Material von Bernd Kling, ZDNet.de]

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

View Comments

  • Jeder viel besuchte Web-Server ist ein potentielles großes Ziel für Hacker. Man nennt es in Fachkreisen "Wasserstelle". Das ist völlig unabhängig vom Betriebssystem oder von der eingesetzten Server-Software. Wer einen Rechner im Web hat ist gut beraten seine Datenbestände und seine Präsenz dort regelmäßig zu sichern sowie durch Updates gegen Angriffe auf Basis von bekannten und gefixten Schwachstellen permanent zu wappnen.

    Wie ein anderes, für mich renomiertes Magazin im Web es zu berichten weiss bzw. von mir komplettiert: Solche Server sind Multiplyer beim Verbreiten von Schad-Software und damit zahlt sich selbst großer Aufwand diese zu hacken schnell für den Angreifer aus. Dabei ist es gar nicht wichtig den Server irgendwie ausfallen zu lassen sondern ihn weiter laufen zu lassen ist noch viel wertvoller - schon alleine weil solch ein System in aller Regel eine sehr breitbandige Verbindung ins Web hat. Bot-Netze die sich auf mehrere hundert bis tausende solcher Performance-Systeme abstützen werden wiederkehrend entdeckt und auch eliminiert, doch sie tauchen immer wieder neu auf. Nebenbei wird auch wiederkehrend von kopierten Datenbanken mit Kunden- und Kreditkartendaten berichtet. Ein Schelm wer denk Hacker wären Einzelgänger - nein, es ist längst eine Mafia die hinter dem Hacken steht und dazu noch weltweit einige 100 Geheimdienste mit einem Hacker-Fundus der die 100 Millionen-Grenze längst weit hinter sich gelassen haben dürfte.

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

9 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

10 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

10 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

15 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago