Die Websicherheit im Juni 2010: Clickjacking bekommt mit Likejacking einen kleinen, aber gemeinen Bruder und ein Exploit-Kit verbreitet Schadsoftware. Dann kann der Sommer ja kommen.
Clickjacking the Like-Button = Likejacking
Das 2008 von Jeremiah Grossman und Robert „RSnake“ Hansen beschriebene Clickjacking ist um eine Variante reicher: Likejacking.
Like it?
Dieser Button ist völlig ungefährlich. Wirklich. Sie müssen auch nicht klicken, wenn Sie nicht wollen.
Beim Clickjacking werden die
Opfer dazu gebracht, irgend etwas auf einer Seite anzuklicken,
woraufhin der Angreifer diesen Klick auf eine andere Seite umleitet und
dort eine Aktion im Namen des Benutzer auslöst. Die Bezeichnung
„Likejacking“ hat Richard Cohen von Sophos für Angriffe auf Facebook
geprägt,
bei denen über Clickjacking der Like-Button von Facebook ausgelöst wurde.
Auf diesem Weg verbreitete sich Ende Mai und Anfang Juni ein
Clickjacking-Wurm auf Facebook. Das besondere daran: Es wird nur das
dokumentierte Verhalten des Like-Buttons ausgenutzt, und übliche
Gegenmaßnahmen gegen Clickjacking wie Framebuster oder der
"X-FRAME-OPTIONS"
-Header lassen sich
nicht einsetzen.
Wie Likejacking funktioniert, erfahren Sie
hier.
Exploit-Kit powered by PHP
Avira hat eine ausführliche Beschreibung des Fragus Exploit Kit veröffentlicht. Das Kit besteht aus mehreren PHP-Skripten für die Administration und Konfiguration sowie das Durchführen von Drive-by-Infektionen und einem Reporting-Modul mit einer MySQL-Datenbank als Backend. Die Angriffe werden durch angebliche Werbeanzeigen durchgeführt, die nach einem Klick auf die Website für die Drive-by-Infektion weiterleiten. Dafür stehen verschiedene Skripte und zugehörige Exploits bereit, die sich weitreichend konfigurieren lassen. Allen gemeinsam ist der letztendlich eingeschleuste Schadcode, der den kompromittierten Rechner in ein Botnet einbindet.
Carsten Eilers