Wie der der US-Journalist Brian Krebs berichtet, sind schon seit mehreren Wochen vergiftete Suchergebnisse bei Images zu finden. Ein Klick auf eines der durch die Suche ausgegebenen Vorschaubilder führt zu Seiten, die auf bekanntem Weg Scareware, also gefälschte Antivirensoftware, verbreiten wollen: Direkt nach dem Öffnen der Site wird eine schrille Warnmeldung angezeigt, dass der PC des potentiellen Opfers mit Malware infiziert sei. Gleichzeitig wird ein Download angeboten, der das Problem lösen soll. So wandert die kostenpflichtige, aber nutzlose Antivirensoftware auf den Rechner. Wie Krebs schreibt, wurde ihm von Lesern seines Blogs von diesen vergifteten Ergebnissen berichtet.

Inzwischen warnt auch das SANS Institute vor den Attacken. In ihrem Blogbeitrag erklären die SANS-Experten, wie die Suchergebnisse manipuliert werden: Die Angreifer infizieren zuvor im großen Stil an sich legitime Webseiten mit Skripten. Diese Skripte erzeugen automatisch neue Seiten, in denen die gerade am häufigsten gesuchten Begriffe massenhaft auftauchen. So rutschen die – aus Sicht des Suchenden sinnlosen – Seiten immer weiter nach oben in der Liste der Ergebnisse. Gleichzeitig laden die Skripte noch Bilder von anderen Webseiten herunter, die zu den Suchbegriffen passen und integrieren diese in die Ergebnisse. Auf diese Weise fallen die gefälschten Ergebnisse nicht negativ auf zwischen den nicht manipulierten Suchresultaten.

Krebs zitiert in seinem Beitrag einen der SANS-Forscher, der erklärt, wie der weitere Angriff von statten geht: Klickt ein Nutzer auf eines der Vorschaubilder, wird er zum infizierten Server weitergeleitet. Dort wird dessen Browser zu einer anderen Site weitergeleitet, von der dann die eigentliche Schadsoftware herunter geladen wird.

Der russische IT-Sicherheitsexperte Denis Sinegubko hat anhand von Logdateien ermittelt, wie erfolgreich die Malwarekampagne bisher war. Die Logs stammen von zuvor infizierten legitimen Servern. Sinegubko geht davon aus, dass 5000 Server infiziert und auf jedem von diesen knapp 1000 Seiten mit beliebten Suchbegriffen erzeugt wurden. Nachdem die Seiten im Schnitt alle zehn Tage einen Besucher haben, ergibt das pro Monat 15 Millionen potentielle Infektionen.

Der Malwareforscher führt anhand eines Beispiels aus, wie erfolgreich die Angriffe sind: Ein kroatischer Server hatte vor der Infektionen einen Page-Rank von Null und rangierte damit ganz weit hinten bei den Suchergebnissen. Durch das automatische Einstreuen der Suchbegriffe landeten die indexierten Seiten weiter oben, so dass binnen fünf Wochen über 140 000 nichts ahnende Anwender zu den Scareware-Servern weiter geschickt wurden. Wie der SANS-Beitrag ausführt, funktioniert automatisches Markieren von potentiell gefährlichen Links (noch) nicht bei der Bildersuche. Von daher können nichts ahnende Nutzer nicht erkennen, ob ein Link bösartig ist oder nicht.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.