Vielfältige Angriffe mit Hilfe des Blackhole Exploit Kits

Originalartikel von Jon Oliver, Software Architecture Director

Eine Zero-Day-Schwachstelle (CVE-2012-4681) in Java 7 wurde in letzter Zeit von vielen Exploits ausgenützt, einschließlich des berüchtigten Blackhole Exploit Kits .

Mithilfe der Prozesse des Trend Micro Smart Protection Networks konnten die Sicherheitsforscher diese Angriffe aufdecken und blockieren. Die Kriminellen setzten bei ihren Angriffen auf vielerlei Methoden, um die Internetnutzer auf die von ihnen präparierten Seiten zu locken:

  • Spam
  • Kompromittierte Seiten
  • Umleitung von Pornoseiten
  • Malvertising

Diese unterschiedlichen Versuche erhöhten die Chancen auf Erfolg deutlich. Zusätzlich bediente sich auch der verschickte Spam mehrerer Köder:

  • Gefälschte LinkedIn-Nachrichten,
  • Gefälschte Antivirus-Benachrichtigungen,
  • Faxe, die vorgaben von eFax zu kommen, sowie
  • Falsche Geldüberweisungen von Western Union.

Die Spam-Nachrichten enthielten Links, die Nutzer auf kompromittierte Websites führten und dann weiter auf schädliche Seiten. Diese Seiten erfüllen zwei Aufgaben: Sie scannen die Systeme nach Schwachstellen und leiten bei Erfolg einen entsprechenden Exploit dahin.

Die Analyse von nur einem der Angriffe mit dem neuen Java-Exploit zeigte mehr als 300 schädliche Domänen auf mehr als 100 Servern, die solche Landing-Seiten hosten. Fast die Hälfte der Domänen liegen bei den wohlbekannten Top-Level-Domänen .com, .org und .net.

Nahezu die Hälfte der Sites werden in den Vereinigten Staaten vorgehalten, gefolgt von Russland mit 25 Prozent.

Auch die Opfer scheinen sich in den Ländern zu befinden, die die Sites hosten. Zwei Drittel der angegriffenen Systeme fanden sich in den USA, während die europäischen Länder den weitestgehenden Rest stellen.


Die Trend Micro-Anwender sind über das Smart Protection Network geschützt. Für Trend Micro Deep Security sowie die Intrusion Defense Firewall in OfficeScan sollte die Rule 1005170 beziehungsweise 1005178 – Java Applet Remote Code Execution Vulnerability) angewendet werden. Inzwischen liegt auch ein Notfall-Patch von Oracle vor, den Anwender unbedingt einspielen sollten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*