Nach einem aktuellen Bericht konnte sich ein ungewöhnliches Botnet auf über 12.500 Rechner einnisten. Der Zugang soll dabei über eine bösartige Firefox-Erweiterung erfolgt sein, die sich als harmloses Microsoft-Tool tarnt.
Gute Tarnung und böse Absichten
Firefox-Nutzer könnten unfreiwillig zu Mitgliedern in einem Bot-Netz geworden sein, das unter dem Namen "Advanced Power" mindestens seit Mai dieses Jahres sein Unwesen im Netz treiben soll. Dabei geht es den Angreifern primär aber nicht darum, die infizierten Rechner zu schädigen. Sie werden still und heimlich in ein Netzwerk integriert, das Informationen für weitere Web-Attacken sammeln soll.
Mit Hilfe des Bot-Netzes gehen die Macher im Internet auf die Suche nach Sicherheitslücken und falsch konfigurierten Web-Servern. Ein besonderes Augenmerk liegt dabei auf den SQL-Datenbanken. Sind hier mögliche Schwachstellen einmal entdeckt und an die Drahtzieher übermittelt, können diese mit sogenannten "SQL-Injection-Angriffen" Schadcode in die Datenbank einschleusen.
Danach können beispielsweise Daten ausgelesen und weitere Malware-Codes auf den Servern platziert werden, die Nutzer bei einem Besuch automatisch mit Schädlingen infizieren. Bis zu diesem Zeitpunkt sollen mit dem Botnet bereits über 1800 Webdienste heimlich gescannt worden sein, die gegen SQL-Attacken anfällig sind.
Schädlling als Microsoft-Tool getarnt
Ist Mozilla Firefox auf den betroffenen Systemen installiert, veranlasst der Bot-Code die Installation eines Tools, dass sich mit dem Namen "Microsoft .NET Framework Assistant" tarnt. Unter demselben Namen ist auch ein harmloses Firefox-Addon von Microsoft zu finden, dass die Verwaltung von ClickOnce-Funktionen ermöglicht.
BILDERSTRECKE
![[Bild: firefox-addon_spannt_heimlich_bot-netz-1.jpg]](http://olaf-asmus.de/uploads_file/Olaf/firefox-addon_spannt_heimlich_bot-netz-1.jpg)
![[Bild: firefox-addon_spannt_heimlich_bot-netz-2.jpg]](http://olaf-asmus.de/uploads_file/Olaf/firefox-addon_spannt_heimlich_bot-netz-2.jpg)
![[Bild: firefox-addon_spannt_heimlich_bot-netz-3.jpg]](http://olaf-asmus.de/uploads_file/Olaf/firefox-addon_spannt_heimlich_bot-netz-3.jpg)
![[Bild: firefox-addon_spannt_heimlich_bot-netz-4.jpg]](http://olaf-asmus.de/uploads_file/Olaf/firefox-addon_spannt_heimlich_bot-netz-4.jpg)
SQL-Attacke: Firefox-Addon spannt Bot-Net SQL-Attacke: Firefox-Addon spannt Bot-Net SQL-Attacke: Firefox-Addon spannt Bot-Net
Bot-Netz, getarnt als Firefox-Erweiterung (Brian Kerbs)
(4 Bilder)
Der Botnet-Doppelgänger lässt sich allerdings an seiner Kennung "advance@windowsclient.com" eindeutig identifizieren. Microsofts gleichnamige Erweiterung ist hier an einem langen Zahlencode zu erkennen. Einmal aktiv, testet das bösartige Addon jede besuchte Seite auf vermeintliche SQL-Schwachstellen.
Außerdem sind in dem Programm auch Komponenten integriert, die das Stehlen von Passwörtern und anderen Daten auf dem Rechner ermöglichen würden. Aktuell scheinen diese Teile des Codes aber inaktiv zu sein. Wie der Sicherheitsexperte Brian Krebs in seinem aktuellen Bericht zu dem Botnetz schreibt, machen die Entwickler der bösartigen Software von dieser Möglichkeit bisher keinen Gebrauch.
Bösewicht bereits erkannt
Die schädliche Erweiterung wurde von Mozilla mittlerweile auf die Sperrliste gesetzt und sollte deshalb auch nicht weiter funktionieren. Der Schädling sollte von jedem aktuellen Antivirusprogramm erkannt werden. Außerdem führt der Download-Link, über den das vermeintliche Addon ausgeteilt worden war, mittlerweile ins Leere.
SQL-Attacke - Firefox-Addon spannt heimlich Bot-Netz • 18.12.2013 23:10
