Die Websicherheit im Juni 2010: Clickjacking bekommt mit Likejacking einen kleinen, aber gemeinen Bruder und ein Exploit-Kit verbreitet Schadsoftware. Dann kann der Sommer ja kommen.

Clickjacking the Like-Button = Likejacking

Das 2008 von Jeremiah Grossman und Robert „RSnake“ Hansen beschriebene Clickjacking ist um eine Variante reicher: Likejacking.

Beim Clickjacking werden die Opfer dazu gebracht, irgend etwas auf einer Seite anzuklicken, woraufhin der Angreifer diesen Klick auf eine andere Seite umleitet und dort eine Aktion im Namen des Benutzer auslöst. Die Bezeichnung „Likejacking“ hat Richard Cohen von Sophos für Angriffe auf Facebook geprägt, bei denen über Clickjacking der Like-Button von Facebook ausgelöst wurde. Auf diesem Weg verbreitete sich Ende Mai und Anfang Juni ein Clickjacking-Wurm auf Facebook. Das besondere daran: Es wird nur das dokumentierte Verhalten des Like-Buttons ausgenutzt, und übliche Gegenmaßnahmen gegen Clickjacking wie Framebuster oder der "X-FRAME-OPTIONS"-Header lassen sich nicht einsetzen. Wie Likejacking funktioniert, erfahren Sie hier.

Exploit-Kit powered by PHP

Avira hat eine ausführliche Beschreibung des Fragus Exploit Kit veröffentlicht. Das Kit besteht aus mehreren PHP-Skripten für die Administration und Konfiguration sowie das Durchführen von Drive-by-Infektionen und einem Reporting-Modul mit einer MySQL-Datenbank als Backend. Die Angriffe werden durch angebliche Werbeanzeigen durchgeführt, die nach einem Klick auf die Website für die Drive-by-Infektion weiterleiten. Dafür stehen verschiedene Skripte und zugehörige Exploits bereit, die sich weitreichend konfigurieren lassen. Allen gemeinsam ist der letztendlich eingeschleuste Schadcode, der den kompromittierten Rechner in ein Botnet einbindet.

Carsten Eilers