Kaspersky Lab und CrySys Lab haben neue Details zur Malware „Miniduke“ veröffentlicht, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.
„Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten“, schreibt Kaspersky-Lab-Experte Igor Soumenkov in einem Blogeintrag. „Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.“ Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.
Der dabei eingesetzte Java-Exploit richtet sich Kaspersky zufolge gegen eine von Oracle am 13. Januar gepatchte Zero-Day-Lücke. Der Schadcode ähnele dem Code, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.
Für den Angriff auf Nutzer des Internet Explorer 8 verwendeten die Hintermänner von Miniduke eine Ende Dezember 2012 entdeckte Zero-Day-Lücke, für die seit dem 29. Dezember Beispielcode zur Verfügung stand. Microsoft stopfte das Loch am 14. Januar 2013, was die Hacker nicht davon abhielt, den von ihnen entwickelten Schadcode zur Verbreitung von Miniduke ebenfalls am 11. Februar auf ihre Server zu laden.
„Wir haben zwei zuvor unbekannte Angriffsmöglichkeiten entdeckt und analysiert. Auch wenn die Exploits zum Zeitpunkt der Attacken schon bekannt und dokumentiert waren, waren sie doch sehr aktuell und könnten gegen bestimmte Ziele funktioniert haben“, heißt es weiter in dem Blogeintrag. Um sich gegen Miniduke-Angriffe zu schützen, sei es wichtig, Windows, Java und Adobe Reader auf die neuesten Versionen zu aktualisieren. „Natürlich ist es möglich, dass weitere unbekannte Infektionswege existieren. Wir werden die Lage weiter überwachen.“
Kaspersky Lab und CrySys Lab hatten sich erstmals Ende Februar zu Miniduke geäußert. Das Schadprogramm ist in der Lage, Hintertüren auf einem infizierten System zu öffnen, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen. Unter anderem wurde es in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.
Neueste Kommentare
Noch keine Kommentare zu Miniduke-Malware verbreitet sich auch über Lücken in IE8 und Java
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.