Kaspersky: Malware „MiniDuke“ nimmt europäische Regierungen ins Visier

Kaspersky Lab und CrySys Lab warnen vor einer neuen Malware, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der „MiniDuke“ genannte Schädling nutzt Fehler in Adobe Reader aus. Er wurde unter anderem in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.

MiniDuke verbreitet sich demnach über manipulierte PDF-Dateien. Die Hintermänner hätten sehr glaubhafte und echt wirkende PDFs erstellt, so Kaspersky. Der Exploit selbst sei in Assembler geschrieben und nur 20 KByte große. Er nutze inzwischen gepatchte Schwachstellen in Reader 9, 10 und 11 aus.

Das Schadprogramm erstelle nach dem ersten Start eine eindeutige ID und verschlüssele jegliche Kommunikation mit seinen Entwicklern, heißt es weiter in dem Bericht. Die Server, mit denen MiniDuke Kontakt aufnehme, befänden sich in Panama und der Türkei. Die Malware verfüge zudem über Techniken, um Antiviren- und Sicherheitsexperten davon zu überzeugen, dass sie ungefährlich sei.

Nachdem sich MiniDuke auf einem System eingenistet hat, verbindet es sich Kaspersky zufolge mit Twitter und sucht nach Tweets vordefinierter Konten. Diese Tweets enthalten Tags mit verschlüsselten URLs zu mehreren Backdoors, die Befehle an MiniDuke senden und mittels GIF-Dateien weitere Hintertüren öffnen können. Darüber erhalten die Hacker Zugriff auf ein infiziertes System, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen.

Adobe bietet seit vergangener Woche ein Update für Reader und Acrobat an, das die von MiniDuke verwendeten Sicherheitslücken schließt. Einer Sicherheitswarnung des Unternehmens zufolge könnte ein Angreifer beliebigen Schadcode einschleusen und die Kontrolle über einen betroffenen Computer übernehmen. Wenige Tage zuvor hatte das Softwareunternehmen schon vor den Anfälligkeiten gewarnt, ohne jedoch Details zu den Angriffen zu nennen.

Laut Kaspersky dauern die Attacken noch an. MiniDuke sei zuletzt am 20. Februar aktualisiert worden. Möglicherweise sei es den Hackern gelungen, die von Adobe bereitgestellten Fixes zu umgehen. Auf welche Daten oder Informationen es die Hintermänner von MiniDuke abgesehen haben, ist nicht bekannt.

[mit Material von Don Reisinger, News.com]

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bericht: Samsung entwickelt AirDrop-Klon Quick Share

Die neue App zum Dateiaustausch gehört offenbar zum Galaxy S20. Sie funktioniert ähnlich wie AirDrop. Quick Share verfügt aber auch…

2 Tagen ago

Citrix veröffentlicht weitere Patches für kritische Zero-Day-Lücke

Es liegen nun für fast alle Produkte Updates vor. Heute Abend soll der letzte Patch für Citrix ADC und Citrix…

2 Tagen ago

Allianz will Schweizer Rechenzentren grüner machen

HPE und der Industrieverband digitalswitzerland gründen die Swiss Datacenter Efficiency Association. Sie gibt ein Ökolabel für Rechenzentren heraus. Teilnehmer eines…

2 Tagen ago

Xerox kündigt feindliche Übernahme von HP an

Ein Aufsichtsrat mit unabhängigen Kandidaten soll das Geschäft absegnen. Dafür tritt Xerox bei der nächsten Aktionärsversammlung mit elf eigenen Kandidaten…

2 Tagen ago

Hacker mit Verbindungen zum Iran nehmen europäische Energiekonzerne ins Visier

Sie setzen eine Malware namens PupyRAT ein. Sie erlaubt den Diebstahl von Anmeldedaten und weiterer vertraulicher Informationen. PupyRAT wiederum wird…

3 Tagen ago

Bericht: Intel bereitet sich auf Preiskampf mit AMD vor

Der Chiphersteller reagiert damit angeblich auf die zunehmende Konkurrenz durch AMD. Intel steht dafür ein Barvermögen von 12 Milliarden Dollar…

3 Tagen ago