Seit kurzer Zeit läuft eine Angriffswelle auf Apache-Webserver, die auf der Malware Darkleech aufbaut. Diese Attacken sind offenbar wesentlich folgenreicher als man bisher dachte.
Der Antiviren-Spezialist Eset berichtet von Zehntausenden Websservern, die jetzt Schadsoftware an die Besucher der auf ihnen gehosteten Internetseiten verteilen.
Bisher waren die Eset-Sicherheitsforscher von nur etwa 2.000 kompromittierten Adressen ausgegangen.
“Die Situation ist tatsächlich sehr viel schlimmer geworden”, sagte das Unternehmen dazu. “Nach den von uns erfassten Daten wurden bislang mehr als 40.000 verschiedene IP-Adressen und Domains benutzt. Allein im Mai haben 15.000 dieser IPs und Domains aktiv Blackhole ausgeliefert.”
Die kriminellen Hacker installieren das bösartige Apachemodul Darkleech auf den Servern. Diese Malware modifiziert dann bis dahin harmlose Websites so, dass die ihren Besuchern Schadsoftware unterschieben.
Diese Teil des Angriffs übernimmt das Exploit-Kit Blackhole, das auch von technisch weniger begabten Hackern genutzt werden kann. Das Kit sucht nach Schwachstellen im Webbrowser der Besucher und in den Browser-Plug-ins, um die Rechner dann unbemerkt zu infizieren.
So kommt dann zum Beispiel der Lösegeld-Trojaner “Nymain” auf den PC eines Besuchers, der die Dateien auf dem Rechner des Opfers verschlüsselt und dann Lösegeld per UCash oder Western Union für ihre Entschlüsselung fordert.