Wie die IT-Sicherheitsexperten von Armorize in einem Blogbeitrag erläutern, wurden über 1,2 Millionen einzelne Seiten in Webshops bösartig modifiziert. Laut Armorize bezieht sich die Zahl nicht auf ganze Domänen oder Webshops, sondern einzelne HTML-Dokumente. Betroffen sind E-Commerce-Seiten, auf den Open-Source-Webshop osCommerce basieren.

Mehr als 12.000 Webshops weltweit werden mittels osCommerce betrieben. Wie viele davon Opfer der Masseninfektion wurden, ist nicht bekannt. Eine Google-Suche – Bing liefert in diesem Fall keine Links auf infizierte Webseiten – nach dem im Armorize-Blog genannten String, der typisch ist für die Masseninjektion, zeigt auch etliche deutschsprachige Webshops unter den infizierten Seiten.

Die Seiten werden offensichtlich vollautomatisch manipuliert, in dem ihnen bösartige iFrames hinzugefügt werden, die auf die zur Malwareverteilung genutzten IP-Adressen verweisen. Anders als mit einer automatischen Manipulation ist die immens hohe Zahl von Infektionen nicht zu erklären. Die Angreifer nutzen zum Einbruch laut Amorize mindestens drei verschiedene Schwachstelle in osCommerce, deren älteste schon seit über einem Jahr bekannt ist.

Wird die manipulierte Seite geöffnet, versucht das eingeschleuste iFrame Malware von einer im Armorize-Blog genannten IP-Adresse herunter zu laden. Laut Virustotal erkennen im derzeit (31.07.) verteilten File nur zwölf von 39 Antivirenscannern Schadsoftware. Der Smartscreen-Filter in Internet Explorer 8 und 9 blockiert den Download des Schädlings bereits verlässlich. Google kennzeichnet etliche der infizierten Online-Shops bereits in der Trefferliste als bösartig und weißt spätestens beim Klick auf den Link prominent auf die Schädlichkeit der Seite hin.

Betreiber von infizierten Webshops finden im Armorize-Blog unter „6. Remediation“ Tipps und Hinweise, wie sie die Manipulationen erkennen und beseitigen können.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.