Die Schadsoftware Darkleech treibt offenbar ihr erfolgreiches Unwesen. Laut Antivirensoftware-Anbieter Eset ist sie inzwischen auf Zehntausenden Webadressen zu finden. Diese Adressen wiederum infizieren Besucher dieser Web-Seiten.
Angreifer installieren das bösartige Apache-Modul Darkleech auf kompromittierten Servern. Die Malware modifiziert dann zuvor harmlose Websites so, dass diese den Besucher durch Schadsoftware gefährden. Diese Aufgabe übernimmt das Exploit-Kit Blackhole, das relativ einfach auszunutzen ist. Das Kit sucht nach Schwachstellen im Webbrowser des Besuchers sowie den Browser-Plug-ins, um ihre Rechner unbemerkt zu infizieren. Auch Ars Technica berichtete zuvor von geschätzten 20.000 Apache-Websites, die innerhalb weniger Wochen mit Darkleech infiziert wurden. Die Web-Malware fiel auch durch die gezielte Auswahl ihrer anzugreifenden Opfer auf. Laut Eset erfolgen die Attacken nur auf Besucher, die auf Microsofts Internet Explorer vertrauten oder Oracles Java-Plug-in aktiviert hatten. Eine Besonderheit von Darkleech besteht darin, dass es IP-Adressen von Sicherheits- und Hostingfirmen übergeht, um deren Aufmerksamkeit zu vermeiden. Wie Darkleech die Web- Server befällt ist noch immer ungewiss. Die Fachleute vermuten, dass undokumentierte Schwachstellen in den Konfigurationstools CPanel oder Plesk ausgenutzt werden, die Administratoren zur Fernverwaltung von Sites dienen.
