Miniduke-Malware verbreitet sich auch über Lücken in IE8 und Java

Kaspersky Lab und CrySys Lab haben neue Details zur Malware „Miniduke“ veröffentlicht, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.

„Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten“, schreibt Kaspersky-Lab-Experte Igor Soumenkov in einem Blogeintrag. „Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.“ Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.

Der dabei eingesetzte Java-Exploit richtet sich Kaspersky zufolge gegen eine von Oracle am 13. Januar gepatchte Zero-Day-Lücke. Der Schadcode ähnele dem Code, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.

Für den Angriff auf Nutzer des Internet Explorer 8 verwendeten die Hintermänner von Miniduke eine Ende Dezember 2012 entdeckte Zero-Day-Lücke, für die seit dem 29. Dezember Beispielcode zur Verfügung stand. Microsoft stopfte das Loch am 14. Januar 2013, was die Hacker nicht davon abhielt, den von ihnen entwickelten Schadcode zur Verbreitung von Miniduke ebenfalls am 11. Februar auf ihre Server zu laden.

„Wir haben zwei zuvor unbekannte Angriffsmöglichkeiten entdeckt und analysiert. Auch wenn die Exploits zum Zeitpunkt der Attacken schon bekannt und dokumentiert waren, waren sie doch sehr aktuell und könnten gegen bestimmte Ziele funktioniert haben“, heißt es weiter in dem Blogeintrag. Um sich gegen Miniduke-Angriffe zu schützen, sei es wichtig, Windows, Java und Adobe Reader auf die neuesten Versionen zu aktualisieren. „Natürlich ist es möglich, dass weitere unbekannte Infektionswege existieren. Wir werden die Lage weiter überwachen.“

Kaspersky Lab und CrySys Lab hatten sich erstmals Ende Februar zu Miniduke geäußert. Das Schadprogramm ist in der Lage, Hintertüren auf einem infizierten System zu öffnen, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen. Unter anderem wurde es in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

3 Tagen ago