Die Betreiber des Botnetzes Zeus haben eine neue Variante ihrer gleichnamigen Malware entwickelt. Sie nutzt eine seit rund zwei Wochen bekannte Lücke in der PDF-Spezifikation aus, durch die ein Angreifer in PDF-Dateien eingebetteten Schadcode ausführen kann, nach nur geringer Interaktion mit einem Nutzer.
Laut M86 Security Labs wird die Schadsoftware über E-Mails verbreitet, die angeblich von der britischen Royal Mail stammen. Eine an eine Nachricht angehängte PDF-Datei enthält eine ausführbare Datei mit dem Namen „Royal_Mail_Delivery-Notice.pdf“, die nach dem Öffnen den Zeus-Bot installiert.
Wird der Anhang in Adobe Reader mit aktiviertem JavaScript ausgeführt, erscheint zuvor ein Dialog, der den Anwender nach einem Speicherort für eine zu extrahierende Datei fragt. „Das könnte einen Nutzer verwirren, und wenn er nicht wirklich weiß, wie er reagieren soll, klickt er möglicherweise einfach auf ‚Speichern‘. Nutzer von Foxit PDF erhalten keine Warnung und die Datei wird automatisch im Ordner ‚Eigene Dokumente‘ abgelegt“, erklärt der Sicherheitsanbieter.
M86 Security Labs weist darauf hin, dass Anwender einige Aktionen ausführen müssen, bevor Rechner mit der Malware verseucht werden. Das Unternehmen befürchtet aber, dass unerfahrene Nutzer nicht über ausreichend technisches Wissen verfügen, um die schädlichen Aktivitäten zu erkennen.
Adobe arbeitet derzeit an einem Update für die Lücke. Es soll den Umgang mit in PDFs eingebetteten Dateien ändern. In der Zwischenzeit empfiehlt das Unternehmen allen Anwendern, in den Voreinstellungen, die über das Menü „Bearbeiten“ aufgerufen werden können, unter dem Punkt „Berechtigungen“ den Haken beim Eintrag „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“ zu entfernen. Dadurch werde verhindert, dass andere als PDF-Dateianlagen beim Öffnen einer PDF-Datei ausgeführt werden.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…