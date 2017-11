Angreifer attackierten die Crunchyroll-Webseite über Umwege und verteilten so als Mediaplayer getarnte Malware.

Das große Streamingportal für Anime- und Manga-Inhalte war am vergangenen Samstag Opfer einer DNS-Hijacking-Attacke. Wer die Webseite im Zeitraum zwischen 11:30 Uhr und 17:00 Uhr aufgerufen hat, wurde von unbekannten Angreifern umgeleitet und bekam als Mediaplayer getarnte Windows-Malware serviert. Davor warnen die Verantwortlichen von Crunchyroll.

Die Malware versteckt sich in der Datei "CrunchyViewer.exe". Wer sie heruntergeladen hat, sollte sie umgehend löschen. Ist es bereits zu einer Installation gekommen, ist für eine Deinstallation unter anderem ein Ausflug in die Registry von Windows nötig. Eine Anleitung dafür stellen die Webseitenbetreiber bereit. Was die Malware macht, ist derzeit noch unklar.

DNS-Hijacking

Eigenen Angaben zufolge richtete sich die Attacke nicht direkt gegen die Crunchyroll-Webseite. Vielmehr sollen die Angreifer Zugriff auf die Crunchyroll-Konfiguration die beim Content Delivery Network Cloudflare liegt gehabt haben. So leiteten die Angreifer die Umleitung ein.

Die Gefahr ist laut Crunchyroll seit Samstag 17:30 Uhr gebannt. Bei dem Angriff sollen die Angreifer zu keinem Zeitpunkt Zugriff auf die Crunchyroll-Server gehabt haben und Nutzerdaten sind von dem Übergriff nicht betroffen.

Problematisch bleibt, dass die in Anime-Kreisen sehr beliebte Webseite inklusive großem Forum seit dem Start 2006 nicht auf HTTPS setzt. Dementsprechend kommt auch kein HTTP Strict Transport Security (HSTS) zum Einsatz. Bei Session-Hijacking springt dieser Sicherheitsmechanismus an und im Webbwrowser taucht eine Warnung auf.

[UPDATE, 06.11.2017 14:25 Uhr]

Fließtext um HTTPS-Absatz ergänzt. (des)