G Data verzeichnet seit einer Woche einen sprunghaften Anstieg infizierter Dateien bei sog. One-Click-Hostern. Bei diesem Konzept setzen die Kriminellen auf die wachsende Beliebtheit legaler Dienste, wie beispielsweise dem bekannten Anbieter Rapidshare. Links zu den infizierten Dateien hinterlegen die Täter bevorzugt in Internet-Foren und Social-Networking-Plattformen. Angeboten werden in erster Linie kostenlose Tools. Durch diese Methode unterlaufen die Täter erfolgreich reputationsbasierte URL-Filter die Webseiten entsprechend ihrem „guten Ruf“ auf White- oder Blacklists setzen. Die missbrauchten File-Hosting-Dienste stehen nicht auf diesen sog. schwarzen Listen und werden folglich nicht geblockt. Bei den hinterlegten Dateien handelt es sich in erster Linie um kostenlose Tools. Die Palette der entdeckten Schädlinge ist äußert umfangreich: Backdoors, Sniffer und Downloader sind ebenso vertreten, wie diverse Trojanische Pferde oder der Wurm Koobface.

Ralf Benzmüller, Leiter der G Data Security-Labs fasst zusammen:

„Nicht nur Rapidshare ist betroffen. Auch andere Datei-Hosting-Dienste, wie mediafire.com, uploaded.to und uploading.com, werden zur Verbreitung von Malware missbraucht. Oft werden die Dateien als neueste Versionen von Software, aktuelle Tools oder gecrackte Software angepriesen. Vermeintliche Sparfüchse gehen hier ein hohes Risiko ein. Internet-Nutzer sollten sich generell beim Download von Dateien nicht in falsche Sicherheit wägen – auch wenn es sich bei der Quelle um einen bekannten One-Click-Hosting-Dienst handelt.“

Ausheblung reputationsbasierter URL-Filter

Die Motivation, Schadsoftware über File-Hosting-Anbieter zu verbreiten, ist sowohl unter technischen als auch unter wirtschaftlichen Gesichtspunkten zu betrachten:

1. Da der Upload schädlicher Inhalte zumeist anonym erfolgt und die Hoster darüber hinaus über großzügig dimensionierte Server- und Leitungskapazitäten verfügen, bieten derartige Plattformen einen für Cyberkriminelle unkomplizierten und dennoch effektiven Weg zur Verteilung ihrer schädlichen Software.

2. Als „Trittbrettfahrer“ unterlaufen die Täter durch diese Methodik sog.  reputationsbasierte URL-Filter unterlaufen. Diese basieren auf „schwarze Listen“, die sich auch am „Ruf“ bestimmter Webseiten orientieren. Bei vielen dieser Filter werden große, populäre Webseiten gerade aufgrund ihrer enormen Beliebtheit oftmals nicht in die Sperrlisten aufgenommen.

Hintergrundinformation zu One-Click-Hostern So genannte One-Click-Hoster erfreuen sich zum einfachen Austausch großer Datenmengen seit längerer Zeit großer Beliebtheit. Zahlreiche Anbieter von File- oder One-Click-Hosting-Dienste ermöglichen die anonyme und kostenlose Bereitstellung umfangreicher Datenmengen. Schnell und unkompliziert können dort häufig ohne Anmeldung Dateien auf den Servern der Anbieter abgelegt und anschließend für eine bestimmte Zeit über einen individuellen Link heruntergeladen werden. Diesen Trend haben Cyberkriminelle jetzt aufgegriffen und nutzen Rapidshare und Co. zur Verbreitung von Schadsoftware.