Neuer Angriff über iFrames erfasst 90.000 Seiten

Per JavaScript wird der Besucher infizierter Webangebote auf präparierte Seiten mit Exploits gebracht. Eine Infektion ist an auf die Domain willysy verweisendem iFrame-Code im HTML-Quelltext erkennbar.

Sicherheitsforscher von Armorize melden, dass sie eine aktuelle Angriffswelle abfangen konnten. Der Schadcode ist auf über 90.000 Webseiten zu finden. Es handelt sich um eine „iFrame Injection“ – die Seiten enthalten einen iFrame-Tag, der es ermöglicht, Inhalte von einem fremden Server zu laden. Dies wird beispielsweise auch für das Einbetten von YouTube-Videos oder Scribd-Dokumenten genutzt. In diesem Fall spielt der iFrame aber kein Video ab, sondern startet einen Angriff auf den Client.

Besucht ein Anwender eine solchermaßen infizierte Seite, wird er von JavaScript-Umleitungen auf Seiten geführt, die ihm Schadcode aufzuzwingen versuchen. Dazu fragen sie bekannte Sicherheitslücken ab. Weist der Rechner des Anwenders keine dieser Schwächen auf oder kann eine installierte Sicherheitslösung sie abwenden, passiert nichts.

Um einen iFrame in fremde Webseiten einzubinden, gibt es mehrere Möglichkeiten. Zum einen können Webseiten verwundbar sein, wenn sie Eingaben nicht prüfen und es Angreifern ermöglichen, ihren Code zu ändern – in dem Fall also, einen iFrame einzufügen. Zum anderen kommt es auch vor, dass Kriminelle FTP-Zugangsdaten aufkaufen oder selbst mit Botnetzen abgreifen. Dann können sie sich regulär auf Webservern einloggen und ihren iFrame-Code in HTML-Dateien einfügen.

Die aktuelle Angriffswelle lässt sich daran erkennen, dass iFrame-Code auf die Domain willysy.com verweist. Eine manuelle Abwehrmaßnahme kann es sein, diese Domain der Schwarzen Liste des Browsers mit gesperrten Websites hinzuzufügen. Je nach Browser ist möglicherweise ein Plug-in erforderlich.

Eine Google-Suche zeigt, dass über 60.000 Webseiten mit dem iFrame-Angriff infiziert sind (Screenshot: Armorize).
Eine Google-Suche zeigt, dass über 60.000 Webseiten mit dem iFrame-Angriff infiziert sind (Screenshot: Armorize).

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neuer Angriff über iFrames erfasst 90.000 Seiten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *