Die freie Presse hat viele Feinde: Die Cybersecurity-Spezialisten von Proofpoint konnten einen Angriff auf eine große Anzahl US-amerikanischer Zeitungen aufdecken, darunter bekannte Tageszeitungen. Dabei attackieren die Cyberkriminellen die Publikationen nicht direkt, sondern wählen den Umweg über eine Nachrichtenagentur. Die Agentur stellt ihren Partnern Inhalte per Javascript zur Verfügung. Den Angreifern ist es gelungen, die Codebasis dieses ansonsten harmlosen Javascripts zu manipulieren und für die Ausführung von SocGholish zu verwenden. SocGholish ist ein JavaScript-Malware-Framework, das seit einigen Jahren von Cyberkriminellen verwendet wird.

Die Spezialisten von Proofpoint bezeichnen die Cyberkriminellen hinter dem Angriff als TA569. TA569 hat in der Vergangenheit derartige Javascript-Injektionen in regelmäßigen Abständen entfernt und wieder hinzugefügt, sodass das Vorhandensein des Schadcodes von Stunde zu Stunde variieren kann. Betroffene können sich daher nicht sicher sein, ob es sich bei einer Warnmeldung tatsächlich um einen Fehlalarm („False Positive“) handelt.

Die Cybersecurity-Experten von Proofpoint haben den Angriff von TA569 bei einem Medienunternehmen entdeckt, dessen Dienste von mehreren großen Nachrichtenorganisationen genutzt werden. Mehr als 250 Webseiten regionaler und nationaler Zeitungen haben auf das bösartige Javascript zugegriffen. Die tatsächliche Anzahl der betroffenen Hosts ist nur dem betroffenen Medienunternehmen bekannt.

Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint, kommentiert: „TA569 hat bereits zuvor Medienorganisationen genutzt, um SocGholish zu verbreiten. Diese Malware-Variante kann zu Folgeinfektionen führen, unter anderem mit Ransomware. Die Situation muss genau beobachtet werden, zumal wir gesehen haben, dass TA569 dieselben Assets nur wenige Tage nach der Behebung des Problems erneut infiziert hat. Es reicht nicht aus, das Problem einmal zu beheben. Es ist wichtig, sich daran zu erinnern, dass die Sicherheit einer Website von einer Vielzahl von Ressourcen und Diensten abhängt und dass die Sicherheit, egal wie zuverlässig sie ist, nur so gut ist wie der Content Dritter, der importiert wird.“

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago