Opera-Benutzer gefährdet - Browser Startseite lädt infizierte Inhalte

Seit gestern sind Opera-Benutzer gefährlichen Online-Bedrohungen ausgesetzt durch das bekannte BlackHole Exploit Pack.

Gestern haben uns die automatisierten Bitdefender Scan-Systeme alarmiert, dass ein bösartiges verschlüsseltes Skript, das von der Adresse hxxp://portal.opera.com geladen wird, eine infizierte Seite, die ein bekanntes BlackHole Exploit beinhaltet, öffnet.  Das Skript wird über eine Werbung Dritter geladen – eine Methode, die als Malvertising bekannt ist.

Der in der Opera Portal Startseite versteckte und verschlüsselte Codeabschnitt setzt ein IFrame ein, das bösartigen Content aus einer externen Quelle lädt.  Wenn der Nutzer die Standard-Startseite bis jetzt nicht geändert hat, wird jedes Mal wenn er den Browser öffnet, aktiver gefährlicher Content aus einer Webseite Dritter (g[removed]750.com/in.cgi) geladen!

 

Bild 1. Bitdefender entdeckt Malware, sobald die Opera Portal Startseite geladen wird.

Diese bösartige Seite verbergt das BlackHole Exploit Pack (wir bekamen das Sample über eine  mit dem CVE-2010-0188 Exploit ausgerüstete PDF-Datei), welches die unglücklichen User mit einer neu zusammengestellten Variante von ZBot (von Bitdefender als Trojan.Zbot.HXT erkannt) infiziert. Die ZBot Malware befindet sich auf einem Server aus Russland, welcher höchstwahrscheinlich auch zum Opfer eines Hacking-Angriffs gefallen ist, da dieser nicht autorisierte Zugriffe über FTP erlaubt.

Bitdefender entdeckt das verschlüsselte Skript als Trojan.Script.478548. Die vom Opera Portal geladene maliziöse Seite, wurde zudem vom Cloud URL Blocker blockiert.

Wenn Du unsicher bist, ob Du zum Opfer dieses Tricks gefallen bist, solltest Du den 60-Sekunden QuickScan, welcher auf der Bitdefender Quickscan Webseite verfügbar ist, durchführen.

 

Dieser Artikel basiert sich auf den technischen Informationen, die von Cristina Vatamanu und Răzvan Benchea, Bitdefender Virus Analysten, zur Verfügung gestellt wurden.