Achtung! In diesem Verzeichnis lauert Malware

Hinterlistiges Verzeichnis

Das hinterlistige Versteck stellten mehrere Analysten der IT-Sicherheitsfirma ZScaler fest, wie futurezone.de dazu berichtete. Sie konnten das Problem bei Hunderten HTTPS-Webseiten ausfindig machen. Malware macht es sich dort wohl gerne gemütlich, da "/.well-known/" beim Abruf mit dem Kommandozeilenbefehl ls (list), über den Dateien aufgelistet werden, nicht gefunden wird.

Wofür werden die "/.well-known/"-Verzeichnisse genutzt?

Die Verzeichnisse weisen oft auf Informationen des Nutzers hin. So werden etwa bei der Bestellung eines SSL/TLS-Zertifikats die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ eingesetzt. Ein solches Zertifikat wird zu Absicherung von Internetverbindungen benötigt.

Admins platzieren daraufhin an einem von beiden Orten eine Prüfdatei, um zu bestätigen, dass sie die Inhaber der Domain sind. Von dort kann der Zertifikatsaussteller darauf zugreifen, um die Inhaberschaft zu bestätigen. Somit hinterlässt er Spuren an Daten, die dann von Hackern ausfindig gemacht werden könnten.

Wer wurde bereits angegriffen?

Das IT-Team von ZScaler stellte fest, dass vor allem die bekannten Content-Management-Systeme (CMS) WordPress und Joomla durch Troldesh-Verschlüsselungstrojaner angegriffen wurden. CMS werden hauptsächlich zum Betreiben von Webseiten eingesetzt. Rund 60 Prozent aller Webseiten laufen über WordPress – darunter auch die von Facebook Newsroom, Microsoft und Mercedes Benz.

Außerdem fanden die Sicherheitsexperten auf den gehackten Webservern hinterlegte Phishing-Webseiten. Diese geben unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail oder Microsoft vor – und können dich somit in die Irre führen.

Fall nicht auf Fake-Webseiten herein

Hacking-Opfer sollen etwa via Phising-Mails auf Webseiten gelotst worden sein, auf denen dann die Schadsoftware unfreiwillig heruntergeladen wurde.