Categories: SicherheitSoftware

Zeus-Malware nutzt Lücke in PDF-Spezifikation aus

Die Betreiber des Botnetzes Zeus haben eine neue Variante ihrer gleichnamigen Malware entwickelt. Sie nutzt eine seit rund zwei Wochen bekannte Lücke in der PDF-Spezifikation aus, durch die ein Angreifer in PDF-Dateien eingebetteten Schadcode ausführen kann, nach nur geringer Interaktion mit einem Nutzer.

Laut M86 Security Labs wird die Schadsoftware über E-Mails verbreitet, die angeblich von der britischen Royal Mail stammen. Eine an eine Nachricht angehängte PDF-Datei enthält eine ausführbare Datei mit dem Namen „Royal_Mail_Delivery-Notice.pdf“, die nach dem Öffnen den Zeus-Bot installiert.

Wird der Anhang in Adobe Reader mit aktiviertem JavaScript ausgeführt, erscheint zuvor ein Dialog, der den Anwender nach einem Speicherort für eine zu extrahierende Datei fragt. „Das könnte einen Nutzer verwirren, und wenn er nicht wirklich weiß, wie er reagieren soll, klickt er möglicherweise einfach auf ‚Speichern‘. Nutzer von Foxit PDF erhalten keine Warnung und die Datei wird automatisch im Ordner ‚Eigene Dokumente‘ abgelegt“, erklärt der Sicherheitsanbieter.

M86 Security Labs weist darauf hin, dass Anwender einige Aktionen ausführen müssen, bevor Rechner mit der Malware verseucht werden. Das Unternehmen befürchtet aber, dass unerfahrene Nutzer nicht über ausreichend technisches Wissen verfügen, um die schädlichen Aktivitäten zu erkennen.

Adobe arbeitet derzeit an einem Update für die Lücke. Es soll den Umgang mit in PDFs eingebetteten Dateien ändern. In der Zwischenzeit empfiehlt das Unternehmen allen Anwendern, in den Voreinstellungen, die über das Menü „Bearbeiten“ aufgerufen werden können, unter dem Punkt „Berechtigungen“ den Haken beim Eintrag „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“ zu entfernen. Dadurch werde verhindert, dass andere als PDF-Dateianlagen beim Öffnen einer PDF-Datei ausgeführt werden.


Die Zeus-Malware versteckt sich in E-Mails, die angeblich von der britischen Royal Mail stammen (Bild: M86 Security Labs).

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago