Malware CosmicDuke spioniert auch Drogendealer aus

Die hochgradig adaptierbare Malware MiniDuke hat neue Funktionen erhalten und spioniert jetzt neue Ziele aus. Das berichtet Kaspersky Lab. Eine CosmicDuke gekaufte Variante habe etwa schon Drogenhändler und Militärzulieferer infiziert. 2013 war das Programm zur Spionage bei europäischen Regierungen genutzt worden.

Kaspersky zufolge sind es neue Nutzer der Malware, die für die Änderungen gesorgt haben. Manche von ihnen könnten durchaus im Auftrag von Strafverfolgungsbehörden arbeiten, heißt es.

Das Anfang 2013 erstmals entdeckt MiniDuke und seine Varianten sind für Sicherheitsforscher auch interessant, weil sie so traditionell wirken: Sie sind in Assembler geschrieben, weshalb der Downloader nur etwa 20 KByte groß ist, tarnen den Ladevorgang und verschlüsseln ihre Kommunikation. Kommandoserver verbreiten ihre Codes beispielsweise über automatisierte Tweets. Aktualisierungen tarnen sich als GIF-Dateien. Bisher wurden damit Ziele in Belgien, Irland, Portugal, Rumänien, der Tschechischen Republik, der Ukraine, Ungarn und den USA angegriffen.

Verbreitet wurde die Malware bisher mittels Social Engineering. In Osteuropa fand sie sich beispielsweise in PDF-Dateien (etwa zur Außenpolitik der Ukraine und Plänen für eine NATO-Mitgliedschaft) eingebettet. Eugene Kaspersky kommentierte seinerzeit, das Programm erinnere ihn an die klassischen Malware der 1990er-Jahre.

Die neue Variante CosmicDuke hingegen wurde mit einem Framework namens BotGenStudio zusammengestellt. Sie kann vielfältigere Daten stehlen, darunter Dateien mit einer bestimmten Endung oder die bestimmte Schlüsselwörter enthalten. Sie wurde bisher in Georgien, Großbritannien, Indien, Kasachstan, Litauen, Russland, der Ukraine, den USA, Weißrussland und auf Zypern beobachtet. In Russland wurden damit Kriminelle ausspioniert, die mit Steroiden und Hormonen handeln.

„Das ist eher unerwartet – wenn wir von Advanced Persistent Threats hören, glauben wir meistens an eine von einem Staat unterstützte Spionagekampagne“, kommentiert für Kaspersky der Forscher Vitaly Kamluk. „Wir sehen aber zwei mögliche Erklärungen. Eine wäre, dass die Malware-Plattform BotGenStudio auch als so genannte ‚legale Spyware‘ verfügbar ist, ähnlich wie RCS von HackingTeam, das auch manche Polizeieinheiten einsetzen. Die andere Möglichkeit ist, dass man es im Untergrund leicht bekommen kann und manche Kriminelle damit Konkurrenten ausspionieren.“

CosmicDuke kann auch Tastatureingaben aufzeichnen, Netzwerkinformationen sammeln, Screenshots erstellem, Adressbücher und Passwörter stehlen sowie Schlüssel und Zertifikate exportieren. Einmal erlangte Daten kann er zum Beispiel per FTP und in drei Varianten über HTTP weiterleiten.

Wie alle MiniDuke-Varianten teilt auch diese jedem Opfer eine eindeutige ID zu. Damit lassen sich Updates individuell an Systeme anpassen.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.