$>
you're reading...
Cybercrime, Datenschutz, Security

Presley Walker Image Searches Lead to Drive-By Download en/de


Image representing Websense as depicted in Cru...

Image via CrunchBase

Security researchers from Websense warn that searching for photos of Presley Walker on Google Images can generate results that direct users to drive-by download pages.

Drive-by downloads are a type of attack in which victims get infected only by visiting a specially crafted web page, without any interaction.

This is normally achieved by exploiting vulnerabilities in outdated software packages found on the their computers.

In the attack detected by Websense, cyber criminals are using a popular exploit kit known as Neosploit which contains exploits for multiple vulnerabilities in Java, Adobe Reader and Windows.

We first found on Monday that all the image search results took users to a notorious exploit kit – Neosploit. Later, it changed to redirecting users to rogue AV sites.

As we publish this blog, the search results are still poisoned and are leading to Neosploit again,“ the Websense researchers wrote.

Presley Walker Gerber is the son of Cindy Crawford and Rande Gerber, and at the age of twelve he is already a heart-throb for many young girls thanks to the looks he inherited from his parents, both of whom have had successful careers in modelling.

Search result poisoning attacks are relatively common, but the vast majority of them are used to spread fake antivirus products, commonly referred to as scareware.

Originally applied to regular Google web results, the technique has evolved to also affect image search and also other engines. The fact that this particular campaign combines an exploit-based drive-by download attack with scareware distribution is rather unusual.

Neosploit is a well-known exploit kit in the black market. The authors reportedly stopped supporting and updating the exploit kit due to financial problems, but variants of Neosploit have been updated frequently.

The variants may contain MDAC (CVE-2006-0003), ActiveX (CVE-2008-2463, CVE-2008-1898), and three Adobe Reader (Collab.getIcon, Util.Printf, Collab.collectEmailInfo) vulnerabilities, among others,“ the security researchers warn.

German

Sicherheitsforscher warnen, dass bei der Suche nach Presley Walker Fotos in Google, Verlinkugen auf Drive-by-Downloads Seiten generiert werden. Somit besteht die Gefahr für Nutzer auf infizierte Seiten zu gelangen.

Bei den sog. Drive-by-Download wird keine Interaktion des Nutzers benötigt. Allein der Besuch so einer präparierten Seite kann zu einer Infizierung führen. Die Infizierung erfolgt durch die Ausnutzung von Schwachstellen bei veralteter Software oder gefundene und nicht nicht behobene Lücken im Symstem.

Websence stellt zudem fest, dass bei diesem Angriff das populäre Neosploit Kit zum Einsatz kommt welches verschiedene Schwachstellenbeschreibungen in Java, Adobe Reader und Windows enthält.

Es wurde festgestellt das am Montag die Suche nach Bildern zum Neospolit geführt haben, später aber die Nutzer auf gefälschte Antiviren-Programmen weitergeleitet wurden.

Hier eine Beschreibung auf der Suche bei Google nach Bildern von „Presley Walker“ die zu einer Weiterleitung der betroffenen Nutzer geführt haben:

From the chain, we see the third URL is the malicious site holding the exploit code. We found that all the exploited sites are hosted on the same IP 66.235.180.91, and interestingly, they constructed it with the same path named TF19, which looks like a pattern of this campaign. At last it will trigger appropriate vulnerabilities targeted by this exploit kit according to the user's operating system and browser. From the chain above we see it downloaded a PDF file that targeted three Adobe Reader vulnerabilities. This PDF file is heavily obfuscated and has a relatively low VirusTotal detection.

 Die gehosteten IP’s vom Threatseeker Netzwerk:

Neosploit is a well-known exploit kit in the black market. The authors reportedly stopped supporting and updating the exploit kit due to financial problems, but variants of Neosploit have been updated frequently. The variants may contain MDAC (CVE-2006-0003), ActiveX (CVE-2008-2463, CVE-2008-1898), and three Adobe Reader (Collab.getIcon, Util.Printf, Collab.collectEmailInfo) vulnerabilities, among others. The second case is one of the common tricks black hat SEO campaigns always use: luring users to download fake antivirus software called InstallInternetProtectionXXX.exe. From the VirusTotal scan result, only 20% of antivirus engines detected this malware.

Meldung von Firefox auf einer mit Scareware Infizierten, weitergeleiteten Seite:

Presley Walker Gerber ist der Sohn von Cindy Crawford und Rande Gerber und im Alter von 12 bereits ein Herzensbrecher vieler Mädchen.

Solche Attacken über Suchmaschinen sind nicht neu, aber dieser Angriff zielt darauf hinaus, auf Seiten von gefälschten Sicherheitslösungen zu führen – bekannt als Scareware.

Dieser Angriff ist deshalb so ungewöhnlich, weil die Drive-by-Downlaods Attacken neben einer Infizierung zusätzlich zu der oben genannten gefälschten Antivirusseiten führen. Diese Kombination kommt äusserst selten vor.

Das Neosploit Kit ist eine populäre Software auf dem schwarzen Markt. Aus finanziellen Gründen hat jedoch der Autor die weiterentwicklung und aktualisierung aufgebeben. Es gibt aber Varianten von Neosploit die regelmässig aktualisiert werden.

Diese können Schwachstellen von MDAC (CVE-2006-0003), ActiveX (CVE-2008-2463, CVE-2008-1898), drei Beschreibungen des  Adobe Reader (Collab.getIcon, Util.Printf, Collab.collectEmailInfo) und einige andere enthalten. Die Sicherheitsfirmen sind gewarnt.

Sources: SoftpediaWebsense (text and pictures)

Diskussionen

Ein Gedanke zu “Presley Walker Image Searches Lead to Drive-By Download en/de

  1. I love it when individuals get together and share views. Great blog, continue the good work!|

    Verfasst von anwb rijschool | Juni 24, 2014, 11:56 pm

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Member of The Internet Defense League

Kalender

Kategorien

Archiv

Legal Guide For Bloggers

Bloggers' Rights at EFF

Interessantes

Link Anonymizer

Independent Tests of Antiv-Virus Software

BSD Aktuell

Hacker News

Blog Stats

  • 260,134 hits

Haftungsausschluss

disclaimer

%d Bloggern gefällt das: