Angriffswelle auf Apache-Server gefährdet Besucher von Websites

Die Angriffswelle auf Apache-Webserver, die auf der Malware Darkleech basiert, ist offenbar weit folgenreicher als bisher angenommen. Antivirensoftware-Anbieter Eset berichtet von Zehntausenden Webadressen, die ihrerseits Schadsoftware an die Besucher verteilen. Zuvor waren die Sicherheitsforscher von nur etwa 2000 IP-Adressen ausgegangen.

„Die Situation ist tatsächlich sehr viel schlimmer geworden“, teilte das Unternehmen mit. „Nach den von uns erfassten Daten wurden bislang mehr als 40.000 verschiedene IP-Adressen und Domains benutzt. Allein im Mai haben 15.000 dieser IPs und Domains aktiv Blackhole ausgeliefert.“

Angreifer installieren das bösartige Apache-Modul Darkleech auf kompromittierten Servern. Die Malware modifiziert dann zuvor harmlose Websites so, dass sie ihre Besucher durch Schadsoftware gefährden. Diese Aufgabe übernimmt das Exploit-Kit Blackhole, das auch von technisch weniger versierten Hackern nutzbar ist. Das Kit sucht nach Schwachstellen im Webbrowser des Besuchers sowie den Browser-Plug-ins, um ihre Rechner unbemerkt zu infizieren. Auf diese Weise kann beispielsweise die Erpresser-Malware „Nymain“ zum Einsatz kommen, die Dateien auf der Maschine des Opfers verschlüsselt und ein Lösegeld von 300 Dollar für ihre Entschlüsselung fordert.

Auch Ars Technica berichtete zuvor von geschätzten 20.000 Apache-Websites, die innerhalb weniger Wochen mit Darkleech infiziert wurden – darunter die Sites von The Los Angeles Times, Seagate und anderen reputierlichen Unternehmen. Diese Websites fügten ein iFrame in die ausgelieferten Webseiten ein, um ihre Opfer zu einer mit Blackhole präparierten Website umzuleiten. Die Web-Malware fiel auch durch die gezielte Auswahl ihrer anzugreifenden Opfer auf. Laut Eset erfolgen die Attacken nur auf Besucher, die auf Microsofts Internet Explorer vertrauten oder Oracles Java-Plug-in aktiviert hatten.

Eine weitere Raffinesse von Darkleech besteht darin, dass es IP-Adressen von Sicherheits- und Hostingfirmen übergeht, um deren Aufmerksamkeit zu vermeiden. Die Malware attackiert auch nicht die gleichen Opfer erneut und konzentriert sich auf Besucher, die mit bestimmten Suchanfragen auf die befallenen Seiten zugreifen. Noch immer besteht keine Gewissheit, wie Darkleech die Apache-Server überhaupt kompromittieren kann. Gängige Vermutungen laufen darauf hinaus, dass sie undokumentierte Schwachstellen in den Konfigurationstools CPanel oder Plesk ausnutzen, die Administratoren zur Fernverwaltung von Sites dienen.

[mit Material von Tom Brewster, TechWeekEurope]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago