Miniduke-Malware verbreitet sich auch über Lücken in IE8 und Java

Kaspersky Lab und CrySys Lab haben neue Details zur Malware „Miniduke“ veröffentlicht, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.

„Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten“, schreibt Kaspersky-Lab-Experte Igor Soumenkov in einem Blogeintrag. „Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.“ Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.

Der dabei eingesetzte Java-Exploit richtet sich Kaspersky zufolge gegen eine von Oracle am 13. Januar gepatchte Zero-Day-Lücke. Der Schadcode ähnele dem Code, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.

Für den Angriff auf Nutzer des Internet Explorer 8 verwendeten die Hintermänner von Miniduke eine Ende Dezember 2012 entdeckte Zero-Day-Lücke, für die seit dem 29. Dezember Beispielcode zur Verfügung stand. Microsoft stopfte das Loch am 14. Januar 2013, was die Hacker nicht davon abhielt, den von ihnen entwickelten Schadcode zur Verbreitung von Miniduke ebenfalls am 11. Februar auf ihre Server zu laden.

„Wir haben zwei zuvor unbekannte Angriffsmöglichkeiten entdeckt und analysiert. Auch wenn die Exploits zum Zeitpunkt der Attacken schon bekannt und dokumentiert waren, waren sie doch sehr aktuell und könnten gegen bestimmte Ziele funktioniert haben“, heißt es weiter in dem Blogeintrag. Um sich gegen Miniduke-Angriffe zu schützen, sei es wichtig, Windows, Java und Adobe Reader auf die neuesten Versionen zu aktualisieren. „Natürlich ist es möglich, dass weitere unbekannte Infektionswege existieren. Wir werden die Lage weiter überwachen.“

Kaspersky Lab und CrySys Lab hatten sich erstmals Ende Februar zu Miniduke geäußert. Das Schadprogramm ist in der Lage, Hintertüren auf einem infizierten System zu öffnen, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen. Unter anderem wurde es in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

23 Stunden ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

1 Tag ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

2 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

5 Tagen ago