Land

IKARUS Shop

Security-Produkte
online kaufen

zum Webshop

News

Cyber-Angriff auch auf europäische Regierungen

Aktuell kursieren Meldungen über eine groß angelegte Cyber-Attacke auf europäische Regierungen in verschiedenen Ländern. Tatsächlich haben Wissenschaftler eine neuartige Malware entdeckt, die Systeme in mehr als 20 verschiedenen Ländern Europas befallen hat. Darunter Regierungsinstitutionen in Irland, Portugal, Rumänien, Belgien und Tschechien.

Die Opfer wurden gezielt, mit speziell auf sie zugeschnittenen PDF Dokumenten, attackiert. Die Dokumente enthalten Exploits welche die Schwachstelle CVE-2013-0640 attackieren und entsprechender Shellcode und Javascript sind komprimiert und obfuscated in das Dokument eingebettet. Der Benutzer sieht womöglich eine Einladung zu einem Event oder ein Geschäftsdokument und im Hintergrund führt das Dokument schon unerwünscht Maschinencode aus.

Davon betroffen sind die Adobe Reader Versionen 9, 10 und 11. Seit Mitte Februar steht ein entsprechendes Sicherheitsupdate seitens Adobe zum Download bereit. Wenn der Exploit jedoch erfolgreich am System ist, so kann der Shellcode im Dokument aus der Adobe Reader Sandbox ausbrechen und installiert die eigentliche Malware am System.

Initial wird ein Downloader auf den Rechner geladen, der über verschiedene Wege prüft ob es sich um ein echtes System oder eine Analysemaschine handelt. Nur wenn das System als „unbedenklich“ eingestuft wird, beginnt das initiale Backdoor ins Internet zu kommunizieren.

Die Malware kommuniziert auf sehr ungewöhnliche Weise mit den entsprechenden Command & Control-Servern. Twitter und Google werden benutzt, um Kontaktdaten zu C&C-Servern zu verbreiten. Es existieren Twitter Accounts mit unauffälligen Namen wie Edith Albert, Lorinda Ray und vielen weiteren mehr, welche Tweets mit der Startsequenz „uri!...“, gefolgt von einer verschlüsselten URL mit Parametern posten. Wenn zurzeit kein Tweet mit den gesuchten Daten zu finden ist, so benutzt die Malware Google um nach bereitgestellten Informationen zu suchen.

So werden immer verschiedene Server angesprochen und es können verschiedene Malware Versionen, auch abhängig vom geografischen Standort verteilt und upgedatet werden. Weitere Malware, die downgeloadet wird, dürfte als .gif-Datei getarnt auf das System gelangen. Das Ziel dieser Second Stage Malware sind umfangreiche Spionageaktionen am infizierten Rechner.

Maßnahmen um sich vor derartigen Angriffen zu schützen inkludieren das Updaten aller Systemkomponenten auf den aktuellsten Stand, insbesondere Microsoft und Adobe Produkte sowie Java, die Installation einer Sicherheitslösung wie IKARUS anti.virus und besondere Vorsicht im Umgang mit E-Mail-Anhängen.

© 2014 IKARUS Security Software GmbH