SQL-Attacke: Firefox-Addon spannt heimlich Bot-Netz
Nach einem aktuellen Bericht konnte sich ein ungewöhnliches Botnet auf über 12.500 Rechner einnisten. Der Zugang soll dabei über eine bösartige Firefox-Erweiterung erfolgt sein, die sich als harmloses Microsoft-Tool tarnt.
Gute Tarnung und böse Absichten
Firefox-Nutzer könnten unfreiwillig zu Mitgliedern in einem Bot-Netz geworden sein, das unter dem Namen "Advanced Power" mindestens seit Mai dieses Jahres sein Unwesen im Netz treiben soll. Dabei geht es den Angreifern primär aber nicht darum, die infizierten Rechner zu schädigen. Sie werden still und heimlich in ein Netzwerk integriert, das Informationen für weitere Web-Attacken sammeln soll.
Das Advanced-Power-Botnet (Brian Kerbs)
Mit Hilfe des Bot-Netzes gehen die Macher im Internet auf die Suche nach Sicherheitslücken und falsch konfigurierten Web-Servern. Ein besonderes Augenmerk liegt dabei auf den SQL-Datenbanken. Sind hier mögliche Schwachstellen einmal entdeckt und an die Drahtzieher übermittelt, können diese mit sogenannten "SQL-Injection-Angriffen" Schadcode in die Datenbank einschleusen.
Danach können beispielsweise Daten ausgelesen und weitere Malware-Codes auf den Servern platziert werden, die Nutzer bei einem Besuch automatisch mit Schädlingen infizieren. Bis zu diesem Zeitpunkt sollen mit dem Botnet bereits über 1800 Webdienste heimlich gescannt worden sein, die gegen SQL-Attacken anfällig sind.
Schädlling als Microsoft-Tool getarnt
Ist Mozilla Firefox auf den betroffenen Systemen installiert, veranlasst der Bot-Code die Installation eines Tools, dass sich mit dem Namen "Microsoft .NET Framework Assistant" tarnt. Unter demselben Namen ist auch ein harmloses Firefox-Addon von Microsoft zu finden, dass die Verwaltung von ClickOnce-Funktionen ermöglicht.
Der Botnet-Doppelgänger lässt sich allerdings an seiner Kennung "advance@windowsclient.com" eindeutig identifizieren. Microsofts gleichnamige Erweiterung ist hier an einem langen Zahlencode zu erkennen. Einmal aktiv, testet das bösartige Addon jede besuchte Seite auf vermeintliche SQL-Schwachstellen.
Außerdem sind in dem Programm auch Komponenten integriert, die das Stehlen von Passwörtern und anderen Daten auf dem Rechner ermöglichen würden. Aktuell scheinen diese Teile des Codes aber inaktiv zu sein. Wie der Sicherheitsexperte Brian Krebs in seinem aktuellen Bericht zu dem Botnetz schreibt, machen die Entwickler der bösartigen Software von dieser Möglichkeit bisher keinen Gebrauch.
Bösewicht bereits erkannt
Die schädliche Erweiterung wurde von Mozilla mittlerweile auf die Sperrliste gesetzt und sollte deshalb auch nicht weiter funktionieren. Der Schädling sollte von jedem aktuellen Antivirusprogramm erkannt werden. Außerdem führt der Download-Link, über den das vermeintliche Addon ausgeteilt worden war, mittlerweile ins Leere.
Firefox-Nutzer könnten unfreiwillig zu Mitgliedern in einem Bot-Netz geworden sein, das unter dem Namen "Advanced Power" mindestens seit Mai dieses Jahres sein Unwesen im Netz treiben soll. Dabei geht es den Angreifern primär aber nicht darum, die infizierten Rechner zu schädigen. Sie werden still und heimlich in ein Netzwerk integriert, das Informationen für weitere Web-Attacken sammeln soll.
Das Advanced-Power-Botnet (Brian Kerbs)
Mit Hilfe des Bot-Netzes gehen die Macher im Internet auf die Suche nach Sicherheitslücken und falsch konfigurierten Web-Servern. Ein besonderes Augenmerk liegt dabei auf den SQL-Datenbanken. Sind hier mögliche Schwachstellen einmal entdeckt und an die Drahtzieher übermittelt, können diese mit sogenannten "SQL-Injection-Angriffen" Schadcode in die Datenbank einschleusen.
Danach können beispielsweise Daten ausgelesen und weitere Malware-Codes auf den Servern platziert werden, die Nutzer bei einem Besuch automatisch mit Schädlingen infizieren. Bis zu diesem Zeitpunkt sollen mit dem Botnet bereits über 1800 Webdienste heimlich gescannt worden sein, die gegen SQL-Attacken anfällig sind.
Schädlling als Microsoft-Tool getarnt
Ist Mozilla Firefox auf den betroffenen Systemen installiert, veranlasst der Bot-Code die Installation eines Tools, dass sich mit dem Namen "Microsoft .NET Framework Assistant" tarnt. Unter demselben Namen ist auch ein harmloses Firefox-Addon von Microsoft zu finden, dass die Verwaltung von ClickOnce-Funktionen ermöglicht.
Der Botnet-Doppelgänger lässt sich allerdings an seiner Kennung "advance@windowsclient.com" eindeutig identifizieren. Microsofts gleichnamige Erweiterung ist hier an einem langen Zahlencode zu erkennen. Einmal aktiv, testet das bösartige Addon jede besuchte Seite auf vermeintliche SQL-Schwachstellen.
Außerdem sind in dem Programm auch Komponenten integriert, die das Stehlen von Passwörtern und anderen Daten auf dem Rechner ermöglichen würden. Aktuell scheinen diese Teile des Codes aber inaktiv zu sein. Wie der Sicherheitsexperte Brian Krebs in seinem aktuellen Bericht zu dem Botnetz schreibt, machen die Entwickler der bösartigen Software von dieser Möglichkeit bisher keinen Gebrauch.
Bösewicht bereits erkannt
Die schädliche Erweiterung wurde von Mozilla mittlerweile auf die Sperrliste gesetzt und sollte deshalb auch nicht weiter funktionieren. Der Schädling sollte von jedem aktuellen Antivirusprogramm erkannt werden. Außerdem führt der Download-Link, über den das vermeintliche Addon ausgeteilt worden war, mittlerweile ins Leere.
Thema:
Beliebte Firefox-Downloads
Foren-Beiträge zum Firefox
Weiterführende Links
Neue Nachrichten
- E-Auto-Batterien halten und halten, Reparaturen werden billiger
- Windows 11 verrät junges Mitglied berüchtigter Ransomware-Bande
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Flipper Zero lebt weiter: Firmwareentwicklung nun mit der Community
- FritzOS 8.25: Neue Nutzungsvereinbarung sorgt für Diskussionen
- Microsoft warnt ab sofort: Support für Windows 11 24H2 endet bald
- TinyRetroPad: Ex-Windows-Entwickler baut Notepad in nur 2,5 KB nach
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!




Alle Kommentare zu dieser News anzeigen