Spam-Nachrichten nutzen Redirectors auf infizierten Sites

Originalartikel von Joey Costoya (Advanced Threats Researcher bei Trend Micro) und Martin Roesler (Director for Threat Research)

Derzeit beobachten die Sicherheitsexperten von Trend Micro eine Welle von Pharma-Spam, wobei die zugehörige E-Mail nicht direkt die URL der gefälschten Pharma-Site angibt, sondern Links auf HTML-Seiten, die von infizierten Sites gehostet werden.

Diese Seiten werden in die Web-Root der kompromittierten Sites hochgeladen, während die HTML-Redirectors eine Verschleierungsschicht liefern, um die tatsächliche Landing-Seite zu verstecken – das ist in diesem Fall die berüchtigte falsche Pharma-Site Canadian Pharmacy oder Pharmacy Express. Diese HTML-Seiten sind ganz einfache Redirectors, und zwar entweder eine META Refresh-Weiterleitung oder eine JavaScript-Weiterleitung.



In unsere Spam-Fallen gehen täglich im Durchschnitt etwa 1000 neue kompromittierte Sites. Einige davon werden mehrmals  infiziert. Dies lassen mehrere HTML-Redirectors vermuten, die in die Web-Root der Site hochgeladen werden.



In den meisten Fällen werden zwei Dateien auf die infizierten Sites hochgeladen: der HTML-Redirector und eine JPEG-Datei. Letztere hat denselben Namen wie die HTML-Datei und wird als Darstellungs-Image in der Spam-Nachricht verwendet, wie das Bild 4 zeigt.

Die Webplattform der infizierten Websites variiert. Einige nutzen gar kein CMS andere wiederum lediglich einfache HTML-Dateien. Auch gibt es keine Gemeinsamkeiten zwischen den Webplattformen der Sites, sodass die Möglichkeit, dass die Site über einen Webanwendungs-Exploit infiziert wurde, auszuschließen ist.

Logischerweise wäre die einfachste Art der Infizierung dieser Websits der Diebstahl von FTP-Zugangsdaten. Schließlich boomt der Untergrundhandel mit gestohlenen FTP-Konten. Ein Unternehmenskäufer kann bis zu 300.000 FTP-Konten für nur 25 WMZ (Webgeld: 1 WMZ = 1 US-Dollar) kaufen. Auch gibt es Tools für den Massen-Upload von Dateien, wenn eine Liste mit FTP-Zugangsdaten vorhanden ist.

Die Forscher eines anderen Sicherheitsunternehmen haben bereits die beschriebenen Samples ausgemacht und bestätigt, dass es sich um ein Produkt des bekannten Rustock Spam Bots handelt. Das legt die Vermutung nahe, dass die Akteure hinter dieser Masseninfektion und die Betreiber des Rustock Spam Bots enge Beziehungen zueinander haben oder sogar ein und dieselben sind.

Die meisten Websites heute werden von CMS-Software mit einer benutzerfreundlichen Schnittstelle verwaltet. Damit wird das Management von Websites zwar sehr einfach, doch die Kehrseite der Medaille ist, dass die Webmaster diese kleinen HTML-Dateien, die auf ihre Sites hochgeladen werden, unter Umständen übersehen. Um dies zu verhindern, sollten sie folgende Empfehlungen beachten:

  1. Regelmäßig die Web-Root nach hier abgelegten HTML-Dateien durchsuchen. Die Dateinamen dieser HTML-Dateien folgen bestimmten Konventionen (etwa ovary40.html, slouch77.html, island57.html, e.html, b.html). Manchmal jedoch sind sie ganz zufällig gewählt (yfogewef.html, esyqaso.html, oxbm.html).
  2. Falls solche Dateien gefunden werden, sollten sie gelöscht werden.
  3. Ändern der FTP-Passwörter nach dem Säubern der Site, um eine nochmalige Infektion zu verhindern. Wählen Sie starke Kennwörter!

Falls ein Webmaster eine Malware-Infektion, vor allem über einen Keylogger, vermutet, sollte zum letzten bekannten sauberen Backup zurückgekehrt werden, FTP-Kennwörter geändert und ein Integritätsprüfungswerkzeuge wie das quelloffene Intrusion Detection System OSSEC oder Deep Security zum Schutz der Website installiert werden. Schließlich muss die Sicherheitssoftware immer auf neustem Stand sein, um zu gewährleisten, dass der Schutz auch die neusten Bedrohungen mit einschließt.

Ein Gedanke zu „Spam-Nachrichten nutzen Redirectors auf infizierten Sites

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*