Millionen Nutzer betroffen: PornHub wurde ein Jahr lang von Hackern infiziert

Goldene Regel aus dem Grundkurs Internet: Installiere nie ein "wichtiges Update" über eine fremde Webseite. Schon gar nicht über ein Pornoportal.

|
12 Oktober 2017, 11:54am

Bild: Shutterstock.

Unter Hackern gelten sie als leichte Opfer, denn sie scheinen oft abgelenkt und unvorsichtig: Nutzer von Pornoseiten. Nun hat es Millionen von Pornofans erwischt, die das bekannte Sexportal PornHub besucht haben. Laut der Statistikfirma Alexa ist PornHub die derzeit beliebteste Pornoseite der Welt.

Wie die Sicherheitsfirma Proofpoint in einem Blogpost schreibt, haben ihre Analysten vor kurzem eine groß angelegte Malware-Attacke auf PornHub-Nutzer enttarnt. Der schädliche Code mit Namen "Kovter" versteckte sich in scheinbar harmlosen Werbeanzeigen auf der Webseite.

Der eigentliche Angriff konnte auf zwei Wegen stattfinden, schreiben die IT-Experten: Klickte der Nutzer auf die Anzeige, gelangte er entweder auf eine präparierte Webseite oder wurde direkt aufgefordert, eine schädliche Datei herunterzuladen. Die Datei tarnte sich als wichtiges Update für den – notorisch unsicheren – Adobe Flash Player oder für den Browser. Darin befand sich der eigentliche Schadcode, der den Angreifern Zugriff auf den Computer verschaffte. In beiden Fällen ahnte der Nutzer nichts von der Attacke.

Die Malware-Kampagne richtete sich ausschließlich gegen Nutzer von Google Chrome und Firefox. Chrome wird mittlerweile von über 55 Prozent der User genutzt, Firefox kommt auf 5 Prozent.

Die Nutzer hatten Glück im Unglück

Kovter war zum Glück vieler User "nur" ein Programm, das die gekaperten Rechner dazu missbrauchte, um Werbeanzeigen zu verbreiten und Fake-Websites anzuklicken. Mit den künstlichen Klicks sollten Einnahmen beim kanadischen Anzeigen-Netzwerk Traffic Junky generiert werden. Die Nutzer selbst merkten von dem Angriff meist gar nichts – Kovter machte sich für sie lediglich in Gestalt nerviger Pop-Ups bemerkbar. Die Sicherheitslücke ist mittlerweile behoben: "PornHub und Traffic Junky reagierten zügig, um diese Bedrohung auszuschalten", heißt es in dem Blogeintrag von Proofpoint.

Der Schadcode ist dagegen ein alter Bekannter in der Welt des Malvertisings: Frühere Versionen von Kovter entluden neben dem Klick-Betrug zusätzlich auch Ransomware, die von ihren Opfern Geld erpresste. Das Schadprogramm wurde erstmals 2013 entdeckt.

Obwohl die aktuelle Lücke laut den Proofpoint-Forschern bereits geschlossen wurde – die Firma hatte PornHub die Sicherheitslücke gemeldet –, sei der Schaden bereits angerichtet. Bereits vor über einem Jahr hatte sich die Malware auf der Seite eingenistet, laut den Analysten lange genug, um bei Millionen Besuchern den Klick-Betrug in bare Münze umzuwandeln – insbesondere bei einer gut besuchten Webseite wie PornHub. Im Jahr 2016 verzeichnete die Webseite 23 Milliarden Besuche.

Die einträgliche Betrugskampagne ist nur eine von vielen Attacken auf Pornoseiten

Es ist nicht das erste Mal, dass eine Porno-Website ins Visier von Hackern gerät. Zuvor wurden bereits die Seiten xHamster, DrTuber, IcePorn, Nuvid, RedTube in einer systematischen Attacke von Hackern kompromittiert, die Millionen von Nutzer betraf. Auch für PornHub ist es nicht das erste Mal: Im Mai 2015 behauptete ein Hacker, vollen Zugang zum Server der Seite zu haben und individuelle Zugangsrechte für 1.000 Dollar zu verkaufen. PornHub dementierte allerdings später, dass die Nutzerdaten nie in Gefahr gewesen seien und erklärte, es handele sich um einen "Scherz".

Gefahr gebannt? Laut den Proofpoint-Experten ist die Sache gerade noch glimpflich ausgegangen. "Es hätte genauso gut Ransomware, Datenklau oder irgendeine andere Malware sein können", schreiben die Sicherheitsforscher auf ihrem Blog. Als Nutzer müsse man sich daher auf immer raffiniertere Angreifer aus dem Netz einstellen, ebenso wie auf immer neue Bedrohungsszenarien: Derzeit beliebte Methoden böswilliger Hacker seien Social Engineering, innovative Tools sowie der Fokus auf große Webseiten. Das Risiko, auf einer dieser Seiten von Malware befallen zu werden, sei "sehr hoch", warnen die Forscher – "für Millionen von Nutzern".