Die Bit-Torrent-Suchmaschine KickAssTorrents (kat.ph) versucht die PCs ihrer Besucher mit gefälschter Antivirensoftware (Scareware oder auch Rogue AV genannt) zu infizieren. Das geht aus einem Blogbeitrag von Armorize hervor. Dem Beitrag zufolge gehört kat.ph mit monatlich mehr als 1,5 Millionen Besuchern zu den 350 am stärksten frequentierten Websites weltweit. Von daher ist das Infektionspotential riesig.

Wie die Sicherheitsexperten in ihrem Beitrag weiter schreiben, passiert der Angriff vollautomatisch nach Aufruf der Site per JavaScript (Drive-by-Download). Der Anwender muss also lediglich die Website aufrufen, um seinen PC in Gefahr zu bringen. Es sind keine weiteren Klicks nötig. Das Skript scheint auf dem von KickAssTorrents verwendeten Werbebanner-Server (OpenX) zu laufen und nicht auf kat.ph selbst. Offenbar wurde die OpenX-Plattform von den bislang unbekannten Angreifern geknackt und so das bösartige Skript eingeschleust.

Die vollautomatisch installierte Schadsoftware heißt Security Sphere 2012. Das im Fall von kat.ph verteilte Exe-File wurde modifiziert, um Antivirensoftware zu entgehen. Mit beachtlichem Erfolg: Die Datei wird laut VirusTotal derzeit nur von zwei der dort vertretenen 43 Antivirenscanner erkannt. Die Malware wird von einem laut Armorize in den USA gehosteten Server verteilt, auf den über ständig wechselnde URLs zugegriffen wird. Das JavaScript erzeugt einmal pro Stunde automatisch eine neue URL nach einem festen, vorhersagbaren Muster.

Wie die Infektion selbst von statten geht, zeigt ein von Armorize im Blogpost eingebettetes Video. Es empfiehlt sich, das Video als Informationsquelle zu nutzen und nicht die Torrent-Suchmaschine selbst, da dies sehr wahrscheinlich nach wie vor Besucher attackiert.

Wobei ich natürlich ohnehin vom Besuch einer Site abrate, die ganz offensichtlich beim Verteilen von raubkopierter Software sowie illegal verteilten Filmen, Musikstücken und Büchern hilft :)

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.