Die Webseite des amerikanischen Arbeitsministeriums hat ahnungslose Bürger über Drive-by-Download-Attacken mit Malware infiziert. Der Code, der in der Seite eingebettet war, hat Nutzer auf eine andere Seite weitergeleitet, die die Malware dann auf ihren Computer installiert hat. Sobald die User einmal weitergeleitet waren, versuchte ein Skript, eine bekannte Schwachstelle im Internet-Explorer auszunutzen, um eine Hintertür zu installieren.

Diese Backdoor sollte den Austausch zwischen infiziertem Computer und den von den Hackern kontrollierten Maschinen ermöglichen. Es gibt zwar bereits ein Sicherheitsupdate, die diese Sicherheitslücke schließt. Dieses wurde aber offensichtlich von zu wenigen Leuten eingespielt. Dadurch hat die Malware doch ein breites Spektrum an Usern erwischt.

Jaime Blasco, der Vorsitzende des AlienVault Forschungslabors, sagt, dass die Vorgehensweise sehr derjenigen ähnelt, die die chinesische Cyberspionagegruppe namens DeepPanda anwendet. Diese nutzt Cyberangriffe, um an Informationen für den Nachrichtendienst zu gelangen. Des Weiteren gibt Blasco bekannt, dass die Malware von nur zwei von insgesamt 46 Anti-Malware Programmen entdeckt wurde.

Forscher des Instituts Invincea geben bekannt:

“Most websites are vulnerable to exploit. As a result, exploiting legitimate websites have become a common vector for penetrating enterprise networks and individual machines. The Department of Labor (DoL) is no exception. Their website was compromised to host a re-direct to a malicious website. The target of the attack are visitors to the Dept of Labor website – likely DoL employees, other Federal employees, and visitors to the DoL.“

Artikel von darkreading.com, 01.05.2013: U.S. Department Of Labor Website Discovered Hacked, Spreading PoisonIvy
Artikel von computerworld.com, 01.05.2013: U.S. Department of Labor website infected with malware