Redkit generiert stündlich neue Malware-URLs

[Christoph]

Zitat:

Ein an sich namenloses Exploit-Kit für Web-Angriffe ist im Untergrund entdeckt worden. Der Angriffsbaukasten wird über Werbebanner vermarktet und bietet seinen Nutzern eine Vorabprüfung ihrer Malware gegen 37 Antivirusprogramme. Auch sonst haben die Entwickler offenbar an ihre Kunden gedacht.

Die Entwickler eines neuen, kürzlich entdeckten Angriffsbaukastens haben sich anscheinend Kundenfreundlichkeit auf ihre Fahne geschrieben. Auch bei der Vermarktung ihres Machwerks gehen sie andere Wege als sonst in diesen Kreisen üblich. Wie Arseny Levin vom Sicherheitsunternehmen Spiderlabs in dessen Blog berichtet, nutzen sie dafür normale Werbebanner. Wer es anklickt, landet auf einer Seite mit einem Formular, das nach dem Benutzernamen für den Chat-Dienst Jabber fragt. Darüber nehmen die Online-Kriminellen dann Kontakt zum potenziellen neuen Kunden auf. Die Formularseite haben die Forscher auf einer gehackten kirchlichen Website entdeckt.

Arseny Levin hat das wohl bewusst namenlos belassene Exploit-Kit "Redkit" getauft, weil Rot die vorherrschende Farbe in dessen Web-Oberfläche ist. Allerdings haben die Entwickler dies inzwischen geändert - ob wegen Levins Blog-Beitrag, ist unklar.

Redkit bietet ein paar Funktionen, die einem angehenden Botmaster das Leben erleichtern sollen. Neben der üblichen Statistikfunktion enthält es eine API (Programmierschnittstelle), die stündlich eine neue Web-Adresse für die Exploit-Seite generiert, mit der Online-Kriminelle auf die Jagd nach neuen Opfern gehen. Zu diesem Zweck haben die Redkit-Macher eine große Zahl Domains registriert. So werden die URL-Filter diverser Schutzprogramme ausgetrickst.

Redkit-Nutzer müssen nun also nur noch ihre Malware unters Volk bringen. Damit diese nicht gleich vom Virenscanner des potenziellen Opfers einkassiert wird, bietet Redkit seinen Kunden eine Prüfung mit 37 Antivirusprogrammen. Allerdings muss man von dieser beeindruckenden Zahl etliche abziehen, die mehrfach vorkommen, weil das gleiche Scan-Modul in mehreren Produkten eingesetzt wird.

Für die Kunden eines solchen Angriffsbaukastens ist zudem wichtig, welche Exploits mitgeliefert werden. Hier ist bei Redkit noch Luft nach oben, denn es enthält bislang nur zwei der beliebtesten Exploits. Diese zielen auf die auch vom Flashback-Schädling genutzte Java-Lücke (CVE-2012-0507) sowie auf die LibTIFF-Schwachstelle in älteren Versionen des Adobe Reader. Wer mit einer anfälligen Version eines dieser Browser Plug-ins auf eine mit Redkit oder einem anderen Exploit-Kit präparierte Seite gerät, dessen Rechner wird mit Malware verseucht.

Quelle: http://www.pc-magazin.de/news/redkit...s-1280764.html