Blackhat SEO-Kampagnen nutzen den berüchtigten Stuxnet-Schädling

Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Wie zu erwarten war, nutzen Kriminelle den zweifelhafte Berühmtheit von Stuxnet als Mittel, um bösartigen Code zu verbreiten. Der Senior Threats Researcher Ivan Macalintal hat diesbezüglich infizierte Suchergebnisse gefunden. Einige der Suchanfragen dieser Blackhat SEO-Kampagne (Search Engine Optimization) enthielten unter anderen die Schlagwörter “stuxnet SCADA”; “stuxnet removal tool,” “stuxnet cleanup,” “stuxnet siemens” oder “stuxnet worm” und erschienen als Top-Ergebnisse. Eine der manipulierten URLs ({BLOCKED}lo-canada.org/2008/stuxnet.html) leitet die Nutzer auf Websites, die Sicherheitslücken ausnützt, wie sie die „Common Vulnerabilities and Exposure“-Datenbank unter CVE-2010-0886 und CVE-2010-1885 beschreibt. Andere bösartige Suchergebnisse leiten Nutzer auf Websites mit PDF- und SWF-Exploits um.

Prinzipiell führen die Ergebnisse zu verschiedenen Payloads, die einen Downloader enthalten, der andere Schädlinge auf dem Nutzersystem installiert, oder eine FAKEAV-Variante (TROJ_FAKEAV.SMZU).

Ein weiteres Beispiel dieser Kampagne ist eine bösartige URL, {BLOCKED}l.com/loja/media/stuxnet.html, die sich als Youtube-Seite tarnt und zu einem Schädling (TROJ_CODECPAY.AY)  führt.

Bereits in der Vergangenheit nutzten Cyberkriminelle bekannte Sicherheitsbedrohungen wie Conficker für ihre hinterhältigen Zwecke.

Trend Micro rät Nutzern, die an Informationen zu Stuxnet interessiert sind, diese nur von vertrauenswürdigen Seiten abzurufen. Informationen zu Stuxnet gibt es auch auf unserem Blog, etwa „USB-Wurm nutzt Windows Shortcut-Schwachstelle aus“.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Gefahr über das Trend Micro Smart Protection Network geschützt. Denn dessen Webreputationsdienst verhindert den Zugriff auf die infizierte Site.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*