Immer öfter versuchen Kriminelle, ihre in gehackte Webseiten eingebettete Malware vor den Augen von Suchmaschinenbetreibern wie Yahoo und Google zu verstecken. Damit sollen etwa auf Googles Safe-Browing-API beruhende Browser keinen Alarm beim Aufruf der Seite mehr schlagen. Mit dem API können Client-Anwendungen Googles Phishing- und Malware-Blacklist abfragen. Unter anderem nutzen Firefox und Googles Chrome die Safe Browsing API. Google durchforstet dazu Webseiten nach verdächtigem Code.

Trifft der Google Search-Bot auf eine solch präparierte Seite, so liefert diese einfach harmlosen Code aus. Ob ein Aufruf von Google kommt, erkennt die Webanwendung unter anderem an der IP-Adresse und am User-Agent (googlebot, yahoo). Auf diese Weise unterdrückt die manipulierte Webseite auch optionale Redirects auf andere Seiten. Dazu genügt es, einer gehackten PHP-Webanwendung wenige Zeilen Code hinzuzufügen. Teilweise setzen die Betrüger auf kompromittierten Seiten aber auch spezielle Blog-Software ein.

Neu sind solche Browser-Weichen nicht, bislang nutzen Entwickler sie jedoch eher, um an den Internet Explorer und Firefox unterschiedlichen Code aufgrund unterschiedlicher Funktionen auszuliefern. Gegenüber dem Blogger Brian Krebs hat Google bestätigt, dass Kriminelle mit diesen Tricks arbeiten. Niels Provos von Google ergänzt sogar, dass Besuchern der Schadcobe oft nur dann untergeschoben wird, wenn sie der Link aus den Ergebnissen einer Suchseite dorthin geführt hat. Google führe Maßnahmen gegen solche Manipulationen durch, Einzelheiten wolle man aber nicht veröffentlichen, da es sich um ein ständiges Wettrennen mit den Betrügern handele.

Quelle: Heise.de