Malware Miniduke nutzt auch Lücken in IE8 und Java
Kaspersky Lab und CrySys Lab haben neue Details zur Malware “Miniduke” veröffentlicht. Sie wurde für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern nutzte auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.
“Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten”, schreibt Kaspersky-Lab-Experte Igor Soumenkov. “Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.” Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.
Der dabei eingesetzte Java-Exploit richtet sich gegen eine von Oracle am 13. Januar gepatchte Lücke. Der Schadcode ähnele dem, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.
Für den Angriff auf Nutzer des Internet Explorer 8 verwendeten die Hintermänner von Miniduke eine Ende Dezember 2012 entdeckte Lücke, für die seit dem 29. Dezember Beispielcode zur Verfügung stand. Microsoft stopfte das Loch am 14. Januar 2013, was die Hacker nicht davon abhielt, den von ihnen entwickelten Schadcode zur Verbreitung von Miniduke ebenfalls am 11. Februar auf ihre Server zu laden.
“Wir haben zwei zuvor unbekannte Angriffsmöglichkeiten entdeckt und analysiert. Auch wenn die Exploits zum Zeitpunkt der Attacken schon bekannt und dokumentiert waren, waren sie doch sehr aktuell und könnten gegen bestimmte Ziele funktioniert haben”, so Soumenkov weiter. Um sich gegen Miniduke zu schützen, sei es wichtig, Windows, Java und Adobe Reader auf die neuesten Versionen zu aktualisieren. “Natürlich ist es möglich, dass weitere unbekannte Infektionswege existieren. Wir werden die Lage weiter überwachen.”
Kaspersky Lab und CrySys Lab hatten sich erstmals Ende Februar zu Miniduke geäußert. Das Schadprogramm ist in der Lage, Hintertüren auf einem infizierten System zu öffnen, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen. Unter anderem wurde es in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.