Neuer Angriffsbaukasten

Redkit generiert stündlich neue Malware-URLs

Ein an sich namenloses Exploit-Kit für Web-Angriffe ist im Untergrund entdeckt worden. Der Angriffsbaukasten wird über Werbebanner vermarktet und bietet seinen Nutzern eine Vorabprüfung ihrer Malware gegen 37 Antivirusprogramme. Auch sonst haben die Entwickler offenbar an ihre Kunden gedacht.

Redkit Exploit-Kit

© Spiderlabs

Redkit Exploit-Kit

Die Entwickler eines neuen, kürzlich entdeckten Angriffsbaukastens haben sich anscheinend Kundenfreundlichkeit auf ihre Fahne geschrieben. Auch bei der Vermarktung ihres Machwerks gehen sie andere Wege als sonst in diesen Kreisen üblich. Wie Arseny Levin vom Sicherheitsunternehmen Spiderlabs in dessen Blog berichtet, nutzen sie dafür normale Werbebanner. Wer es anklickt, landet auf einer Seite mit einem Formular, das nach dem Benutzernamen für den Chat-Dienst Jabber fragt. Darüber nehmen die Online-Kriminellen dann Kontakt zum potenziellen neuen Kunden auf. Die Formularseite haben die Forscher auf einer gehackten kirchlichen Website entdeckt.Arseny Levin hat das wohl bewusst namenlos belassene Exploit-Kit "Redkit" getauft, weil Rot die vorherrschende Farbe in dessen Web-Oberfläche ist. Allerdings haben die Entwickler dies inzwischen geändert - ob wegen Levins Blog-Beitrag, ist unklar.Redkit bietet ein paar Funktionen, die einem angehenden Botmaster das Leben erleichtern sollen. Neben der üblichen Statistikfunktion enthält es eine API (Programmierschnittstelle), die stündlich eine neue Web-Adresse für die Exploit-Seite generiert, mit der Online-Kriminelle auf die Jagd nach neuen Opfern gehen. Zu diesem Zweck haben die Redkit-Macher eine große Zahl Domains registriert. So werden die URL-Filter diverser Schutzprogramme ausgetrickst. Redkit-Nutzer müssen nun also nur noch ihre Malware unters Volk bringen. Damit diese nicht gleich vom Virenscanner des potenziellen Opfers einkassiert wird, bietet Redkit seinen Kunden eine Prüfung mit 37 Antivirusprogrammen. Allerdings muss man von dieser beeindruckenden Zahl etliche abziehen, die mehrfach vorkommen, weil das gleiche Scan-Modul in mehreren Produkten eingesetzt wird.Für die Kunden eines solchen Angriffsbaukastens ist zudem wichtig, welche Exploits mitgeliefert werden. Hier ist bei Redkit noch Luft nach oben, denn es enthält bislang nur zwei der beliebtesten Exploits. Diese zielen auf die auch vom Flashback-Schädling genutzte Java-Lücke (CVE-2012-0507) sowie auf die LibTIFF-Schwachstelle in älteren Versionen des Adobe Reader. Wer mit einer anfälligen Version eines dieser Browser Plug-ins auf eine mit Redkit oder einem anderen Exploit-Kit präparierte Seite gerät, dessen Rechner wird mit Malware verseucht.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…