Botnetz lässt Firefox-User besuchte Websites hacken

Der IT-Sicherheits-Experte Brian Krebs berichtet über ein Botnetz, das von seinen Betreibern „Advanced Power“ genannt wird. Das ungewöhnliche daran ist, dass es nicht eingesetzt wird, um Server oder Webdienste mit DoS-Attacken anzugreifen, sondern um Lücken in Websites aufzuspüren.

Krebs geht davon aus, dass sich der Trojaner, der den Computer zum Teil des Botnetz macht, als eine Firefox-Erweiterung namens „Microsoft .NET Framework Assistant“ tarnt, die nichts mit dem echten Plug-in von Microsoft zu tun hat.

Ist der Trojaner installiert, wird jede Website, die mit Firefox besucht wird, automatisch auf Anfälligkeit für SQL Injection überprüft. SQL Injection ist eine häufige Angriffsart, mit der Hacker Login-Daten und Userinformationen von Websites und Servern abgreifen. Laut Krebs sollen mehr als 12.500 Computer infiziert sein, die bisher mehr als 1.800 Websites mit Schwachstellen aufgespürt haben.

Der Trojaner enthält auch Code um vom User eingegebene Login-Daten abzugreifen. Laut Krebs wurde diese Komponente aber noch nicht aktiviert. Die Betreiber von Advanced Power werden in Tschechien vermutet, da der Code einige Zeilen in Tschechisch enthalten soll.