Kaspersky: „Holy Water” attackiert Websites

Kaspersky-Forscher haben mit „Holy Water“ eine Watering-Hole-Attacke identifiziert, die seit Mai 2019 mehr als zehn Websites in Asien kompromittiert hat. Die Websites stehen im Zusammenhang mit Religion, freiwilligen Programmen, Wohltätigkeitsorganisationen und weiteren Bereichen. „Holy Water“ löst selektiv einen Drive-by-Download aus, der eine Backdoor auf dem Gerät des Opfers installiert. Das Toolset der Angreifer umfasste unter anderem eine Verteilung über Git-Hub und die Verwendung von Open-Source-Code. Bei einer Watering-Hole-Attacke kompromittieren Cyberkriminelle zielgerichtet vielgenutzte Websites und warten darauf, dass die dort platzierte Malware auf den Computern der Opfer landet. Zur Infektion mit der Malware reicht der einfache Besuch der Website aus. Diese Art von Angriff verbreitet sich dementsprechend leicht und ist damit recht gefährlich.

Beim Besuch einer kompromittierten Website lädt eine zuvor infizierte Ressource ein verschleiertes schädliches Java-Script, das Informationen über den Besucher sammelt. Ein externer Server stellt dann fest, ob der Besucher ein potenzielles Ziel ist. Ist dem so, lädt die zweite Java-Script-Phase ein Plugin nach, das wiederum einen Download auslöst und ein gefälschtes Adobe-Flash-Update-Popup einblendet. Der Besucher wird dann in eine Update-Falle gelockt und lädt ein schädliches Installationspaket herunter, das die Backdoor „Godlike12“ einrichtet. Dadurch erhält der Bedrohungsakteur vollen Remote-Zugriff auf das infizierte Gerät und kann Dateien ändern, Daten sammeln und Aktivitäten des Computers protokollieren.