Warnung vor aktueller Benutzung der Monster-Jobbörse

[Wilddieb Stuelpner]

PC-Welt vom 21.11.2007, 16:19 Uhr: Monster.com - Job-Börse mit Malware-verseucht, teilweise abgeschaltet

von Frank Ziemann

Teile der Job-Börse Monster.com mussten wegen einer Verseuchung mit einem Angriffs-Toolkit zeitweilig vom Netz genommen werden. Besucher der betroffenen Seiten wurden auf eine Malware-Site umgeleitet.

Angreifer haben sich am Montag Zugang zu einem Web-Server von Monster.com verschafft und einen Teil der Seiten mit einem iFrame präpariert, der Besucher zu einer anderen Website umgeleitet hat. Diese, mit dem Angriffs-Toolkit "Neosploit" ausgestattete Site hat dann versucht Malware einzuschleusen. Betroffen waren Teile des "Monster Company Boulevard", wo Besucher Stellenangebote nach Firmen sortiert einsehen können. Die manipulierten Seiten mussten für mehrere Stunden vom Netz genommen werden, sind inzwischen jedoch restauriert und wieder online.

Das Neosploit-Kit ähnelt dem bekannteren "MPack", es nutzt also bekannte Sicherheitslücken im Browser und im Betriebssystem aus, um Malware einzuschleusen. Nach Angaben von Roger Thompson, Technischer Direktor bei Exploit Prevention Labs haben die Angreifer einen iFrame in einige Seiten eingefügt, der die Besucher auf einen Server in Australien umgeleitet hat.

Thompson sieht in diesem Server eine Verbindung zum notorischen Russian Business Network (RBN), das regelmäßig mit Angriffen durch iFrame-Umleitungen in Zusammenhang gebracht wird. Der Angriffs-Code sei gut verschlüsselt, sodass nicht so einfach festzustellen sei, welche Exploits genutzt würden. Der deutsche Monster-Ableger ist nicht betroffen gewesen.

Monster.com war zuletzt im August durch Malware-Angriffe auf seine Besucher aufgefallen. Ein Trojanisches Pferd hatte Zugriff auf persönliche Daten von mehr als 100.000 Job-Suchenden erlangt und sie an einen Server der Angreifer übermittelt.