Neuer Angriff über iFrames erfasst 90.000 Seiten

Sicherheitsforscher von Armorize melden, dass sie eine aktuelle Angriffswelle abfangen konnten. Der Schadcode ist auf über 90.000 Webseiten zu finden. Es handelt sich um eine „iFrame Injection“ – die Seiten enthalten einen iFrame-Tag, der es ermöglicht, Inhalte von einem fremden Server zu laden. Dies wird beispielsweise auch für das Einbetten von YouTube-Videos oder Scribd-Dokumenten genutzt. In diesem Fall spielt der iFrame aber kein Video ab, sondern startet einen Angriff auf den Client.

Besucht ein Anwender eine solchermaßen infizierte Seite, wird er von JavaScript-Umleitungen auf Seiten geführt, die ihm Schadcode aufzuzwingen versuchen. Dazu fragen sie bekannte Sicherheitslücken ab. Weist der Rechner des Anwenders keine dieser Schwächen auf oder kann eine installierte Sicherheitslösung sie abwenden, passiert nichts.

Um einen iFrame in fremde Webseiten einzubinden, gibt es mehrere Möglichkeiten. Zum einen können Webseiten verwundbar sein, wenn sie Eingaben nicht prüfen und es Angreifern ermöglichen, ihren Code zu ändern – in dem Fall also, einen iFrame einzufügen. Zum anderen kommt es auch vor, dass Kriminelle FTP-Zugangsdaten aufkaufen oder selbst mit Botnetzen abgreifen. Dann können sie sich regulär auf Webservern einloggen und ihren iFrame-Code in HTML-Dateien einfügen.

Die aktuelle Angriffswelle lässt sich daran erkennen, dass iFrame-Code auf die Domain willysy.com verweist. Eine manuelle Abwehrmaßnahme kann es sein, diese Domain der Schwarzen Liste des Browsers mit gesperrten Websites hinzuzufügen. Je nach Browser ist möglicherweise ein Plug-in erforderlich.

Eine Google-Suche zeigt, dass über 60.000 Webseiten mit dem iFrame-Angriff infiziert sind (Screenshot: Armorize).