Zeus-Malware nutzt Lücke in PDF-Spezifikation aus

Die Betreiber des Botnetzes Zeus haben eine neue Variante ihrer gleichnamigen Malware entwickelt. Sie nutzt eine seit rund zwei Wochen bekannte Lücke in der PDF-Spezifikation aus, durch die ein Angreifer in PDF-Dateien eingebetteten Schadcode ausführen kann, nach nur geringer Interaktion mit einem Nutzer.

Laut M86 Security Labs wird die Schadsoftware über E-Mails verbreitet, die angeblich von der britischen Royal Mail stammen. Eine an eine Nachricht angehängte PDF-Datei enthält eine ausführbare Datei mit dem Namen „Royal_Mail_Delivery-Notice.pdf“, die nach dem Öffnen den Zeus-Bot installiert.

Wird der Anhang in Adobe Reader mit aktiviertem JavaScript ausgeführt, erscheint zuvor ein Dialog, der den Anwender nach einem Speicherort für eine zu extrahierende Datei fragt. „Das könnte einen Nutzer verwirren, und wenn er nicht wirklich weiß, wie er reagieren soll, klickt er möglicherweise einfach auf ‚Speichern‘. Nutzer von Foxit PDF erhalten keine Warnung und die Datei wird automatisch im Ordner ‚Eigene Dokumente‘ abgelegt“, erklärt der Sicherheitsanbieter.

M86 Security Labs weist darauf hin, dass Anwender einige Aktionen ausführen müssen, bevor Rechner mit der Malware verseucht werden. Das Unternehmen befürchtet aber, dass unerfahrene Nutzer nicht über ausreichend technisches Wissen verfügen, um die schädlichen Aktivitäten zu erkennen.

Adobe arbeitet derzeit an einem Update für die Lücke. Es soll den Umgang mit in PDFs eingebetteten Dateien ändern. In der Zwischenzeit empfiehlt das Unternehmen allen Anwendern, in den Voreinstellungen, die über das Menü „Bearbeiten“ aufgerufen werden können, unter dem Punkt „Berechtigungen“ den Haken beim Eintrag „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“ zu entfernen. Dadurch werde verhindert, dass andere als PDF-Dateianlagen beim Öffnen einer PDF-Datei ausgeführt werden.