Suchanfragen bei Google sind beliebte Angriffspunkte

Von David Sancho (Advanced Threats Researcher bei Trend Micro)

Keine guten Zeiten, um nach aktuellen Schlagworten bei Google zu suchen! Die Sicherheitsforscher von Trend Micro haben 4500 Website-Scripts gefunden, mit denen die Ergebnisse von Google-Suchläufen manipuliert werden, um die Nutzer auf bösartige Sites weiter zu leiten. Bei den Websites an sich handelt es sich um legitime Adressen wie Kirchen, Wohltätigkeitsorganisationen oder auch Handwerker-Sites. Die eigentlichen bösartigen Sites dahinter bestehen aus 55 Domains mit unterschiedlichen Hosts.

Die Scripts haben beliebige Namen, doch folgen sie einem gewissen Muster. Wenn Googlebot ein Script anfordert, so kontaktiert dieses einen C&C-Server (Command & Control) und erhält dort die Adresse eines TDS-Servers (Traffic Direction Service). Dann lädt es eine Liste mit Links vom C&C-Server herunter. Es gibt dort 10.000 verschiedene Listen zur Auswahl. Die gewählte Liste leitet das Script dann an die Suchmaschine zur Indizierung weiter.

Nachdem die Forscher von diesen 10.000 möglichen Listen nahezu 3000 analysiert hatten, konnten sie bereits 2000 verschiedene manipulierte Suchbegriffe feststellen. Wann immer etwas passiert, beispielsweise derzeit die Tour de France, können Cyberkriminelle mit dieser Infrastruktur binnen Sekunden dafür sorgen, dass bei den Begriffen „Tour“ oder „France“ mindestens sechs bis acht der Top-Ten-Treffer bei Google-Anfragen auf bösartige Webseiten zeigen. Im Falle eines allgemeinen Fehlers oder falls der C&C-Server einen leeren TDS-Server liefert, so gibt es einen festcodierten Ausfallserver „sye628.xorg.pl“ mit denselben Parametern wie der Primary Server.

„Durch das Trend Micro Smart Protection Network sind unsere Kunden zeitnah geschützt, aber dennoch raten wir zur Vorsicht“, erklärt Martin Rösler, Director Thread Research bei Trend Micro. „Neben Filmen auf Youtube sind Suchanfragen bei Google heute die beliebtesten Angriffspunkte der Cybermafia. Ich bin sicher das unsere Forschungen hier noch weitere kriminellen Aktivitäten zu Tage fördern werden!“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*