Categories: SicherheitVirus

Malware CosmicDuke spioniert auch Drogendealer aus

Die hochgradig adaptierbare Malware MiniDuke hat neue Funktionen erhalten und spioniert jetzt neue Ziele aus. Das berichtet Kaspersky Lab. Eine CosmicDuke gekaufte Variante habe etwa schon Drogenhändler und Militärzulieferer infiziert. 2013 war das Programm zur Spionage bei europäischen Regierungen genutzt worden.

Kaspersky zufolge sind es neue Nutzer der Malware, die für die Änderungen gesorgt haben. Manche von ihnen könnten durchaus im Auftrag von Strafverfolgungsbehörden arbeiten, heißt es.

Das Anfang 2013 erstmals entdeckt MiniDuke und seine Varianten sind für Sicherheitsforscher auch interessant, weil sie so traditionell wirken: Sie sind in Assembler geschrieben, weshalb der Downloader nur etwa 20 KByte groß ist, tarnen den Ladevorgang und verschlüsseln ihre Kommunikation. Kommandoserver verbreiten ihre Codes beispielsweise über automatisierte Tweets. Aktualisierungen tarnen sich als GIF-Dateien. Bisher wurden damit Ziele in Belgien, Irland, Portugal, Rumänien, der Tschechischen Republik, der Ukraine, Ungarn und den USA angegriffen.

Verbreitet wurde die Malware bisher mittels Social Engineering. In Osteuropa fand sie sich beispielsweise in PDF-Dateien (etwa zur Außenpolitik der Ukraine und Plänen für eine NATO-Mitgliedschaft) eingebettet. Eugene Kaspersky kommentierte seinerzeit, das Programm erinnere ihn an die klassischen Malware der 1990er-Jahre.

Die neue Variante CosmicDuke hingegen wurde mit einem Framework namens BotGenStudio zusammengestellt. Sie kann vielfältigere Daten stehlen, darunter Dateien mit einer bestimmten Endung oder die bestimmte Schlüsselwörter enthalten. Sie wurde bisher in Georgien, Großbritannien, Indien, Kasachstan, Litauen, Russland, der Ukraine, den USA, Weißrussland und auf Zypern beobachtet. In Russland wurden damit Kriminelle ausspioniert, die mit Steroiden und Hormonen handeln.

„Das ist eher unerwartet – wenn wir von Advanced Persistent Threats hören, glauben wir meistens an eine von einem Staat unterstützte Spionagekampagne“, kommentiert für Kaspersky der Forscher Vitaly Kamluk. „Wir sehen aber zwei mögliche Erklärungen. Eine wäre, dass die Malware-Plattform BotGenStudio auch als so genannte ‚legale Spyware‘ verfügbar ist, ähnlich wie RCS von HackingTeam, das auch manche Polizeieinheiten einsetzen. Die andere Möglichkeit ist, dass man es im Untergrund leicht bekommen kann und manche Kriminelle damit Konkurrenten ausspionieren.“

CosmicDuke kann auch Tastatureingaben aufzeichnen, Netzwerkinformationen sammeln, Screenshots erstellem, Adressbücher und Passwörter stehlen sowie Schlüssel und Zertifikate exportieren. Einmal erlangte Daten kann er zum Beispiel per FTP und in drei Varianten über HTTP weiterleiten.

Wie alle MiniDuke-Varianten teilt auch diese jedem Opfer eine eindeutige ID zu. Damit lassen sich Updates individuell an Systeme anpassen.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

7 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

21 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

21 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

2 Tagen ago