/ News
Verseuchte Rotlichtseiten nutzen Adobe-Sicherheitslücke Options
von FeithComp vom 08.06.2021 - 199 Hits -In einer heute veröffentlichten Sicherheitsmeldung warnt der Sicherheitsspezialist GData vor präparierten XXX-Seiten.
Von den Analysesystemen der GData Security Labs konnten in den letzten Tagen mehrere hundert Domains mit anrüchigen Namen identifiziert werden, die über eine Sicherheitslücke im Adobe Acrobat Reader Benutzersysteme mit Schadsoftware infizieren sollen. Die Bezeichnungen der Domains kombinieren beliebte „Schmuddelbegriffe“, um Internetsurfer anzulocken, die nach Erwachseneninhalten im Netz suchen. Die Betreiber der schädlichen Seiten nutzen flankierend Methoden der sogenannten Suchmaschinenoptimierung, um eine bessere Platzierung in der Rangfolge von Suchmaschinenergebnissen zu erhalten.
"Momentan finden wir diese PDF-basierten Angriffe nur auf Rotlichtseiten. Angesichts des Erfolgs ist zu erwarten, dass in naher Zukunft auch auf anderen Seiten entsprechende PDFs als Träger von Schadcode eingesetzt werden.", prophezeit Ralf Benmüller, Leiter GData Security Labs.
Die Webseiten der Domains enthalten Inline-Frames, die auf ein schädliches PDF-Dokument eines chinesischen Malwareverbreitungs-Servers verweisen und in der Standardkonfiguration verbreiteter Browser mit dem Acrobat-Plugin automatisch geladen werden, sobald ein Besucher die Seite aufruft.
Die Antivirus-Produkte von G Data erkennen die PDF-Datei als „JS:Pdfka-FS“. Bei eingeschaltetem Wächter sind G Data Kunden somit vor einer Infektion geschützt. Der Schadcode, der während der Attacke nachgeladen wird, wird ebenfalls von G Data als Packer.Malware.NSAnti.h (EngineA) bzw. "Win32:Agent-ACFU [Trj]" (EngineB) erkannt und geblockt (sofern der HTTP-Scan nicht ausgeschaltet ist).
So wie andere aktuelle Schädlinge, die Schwachstellen im PDF-Format ausnutzen, versteckt das Dokument seine schädlichen Funktionen durch eine Kompressionsfunktion.
Das entpackte Objekt enthält ein JavaScript, das zunächst einen sogenannten Heap-Spray ausführt, bei dem der Hauptspeicher der Anwendung mit dem auszuführenden Angriffscode gefüllt wird. Schließlich nutzt das Skript einen Pufferüberlauf in der Collab.getIcon()-Funktion aus, um den vorbereiteten Schadcode auszuführen.
Das PDF-Format erfreut sich bei Internetkriminellen dank mehrerer Schwachstellen im weitverbreiteten Adobe Reader in den letzten Monaten einer stark steigenden Beliebtheit als Infektionsvektor für Clientrechner. Der aktuelle Angriff demonstriert eindrucksvoll den Versuch der Angreifer, Internetsurfer durch vermeintlich pornografische Inhalte anzulocken und ihre Schadsoftware durch die Ausnutzung einer dieser Schwachstellen zu verbreiten.
| [Kommentar schreiben] |
Ähnliche Themen
Mit msconfig automatisch startende Programme aus dem Autostart von Microsoft Windows XP entfernen
fire-man 03.01.2007 - 17896 Hits - 3 Antworten
Wie deaktiviert man den automatischen Neustart des Rechners bei Systemfehlern
fire-man 07.05.2006 - 7405 Hits - 1 Antwort
Wie bekomme ich die IP Adresse und Mac Adresse von meiner Netzwerkkarte heraus?
fire-man 28.03.2009 - 10326 Hits - 2 Antworten
passwort unter ami ausschalten
schwedenopa 20.03.2006 - 2549 Hits -
Ihre Frage
Ich möchte eine Frage im Forum stellen
