Malware „Miniduke“ greift europäische Regierungen an

Martin Maciej

Die Sicherheitsexperten von Kaspersky melden vielfache virtuelle Spionageattacken auf Regierungseinrichtungen und Firmen in zwanzig Ländern. Dabei handelt es sich um keine massenhaften Attacken, sondern kontrollierte Angriffe auf Zieleinrichtungen.

Der Trojaner mit der Bezeichnung “Miniduke” wurde dabei über eine Sicherheitslücke des weit verbreiteten Adobe Readers verteilt. In der aktuellen Version des Adobe Readers sind die ausgenutzten Sicherheitsmängel zwar bereits bereinigt, die attackierten Stellen hatten das nötige Update jedoch noch nicht installiert.

Eingeschleust wurde die Malware über getürkte PDF-Dateien mit vermeintlich wichtigen Inhalten der ASEM (Asia Europe Meetings) zu Menschenrechtsfragen in der Ukraine und NATO-Beitrittsplänen. Nach dem Öffnen der PDF-Datei ist der schadhafte Code auf die Computer gelangt. Da die Malware im systemnahen Assembler geschrieben ist, weist sie eine Dateigröße von lediglich 20 kB auf. Sobald der Computer von Analysewerkzeugen auf Schädlinge untersucht wird, stellt die Malware seine Aktivität vorübergehend ein, um nicht erkannt zu werden.

Trojaner kommuniziert über Twitter und Google-Suche

Die Cyberangreifer sind dabei vermutlich sehr zielgerichtet an die Arbeit gegangen. Sobald die Malware einmal auf einem Rechner angelangt ist, wurde dieser unter bestimmten Aspekten analysiert. Hat der Schädling den befallenen Computer als für das Spionageziel geeignet erkannt, wurden über Twitter weitere Befehle empfangen. Diese Tweets enthalten eine URL, über die weitere Anweisungen und zusätzlicher Schadcode an die Malware übermittelt werden. Falls die nötigen Informationen nicht über Twitter an „MiniDuke“ weitergereicht werden können, kann die Malware auch über die Google-Suche an die verschlüsselten Zeichenketten für neuen Schadcode gelangen.

Laut Kaspersky sind Regierungs- und Forschungseinrichtungen in Belgien, Irland, Portugal, Ukraine, Rumänien, der Tschechischen Republik und weiteren Ländern weltweit betroffen.

Wer hinter den Attacken steht, ist laut Kaspersky-Bericht noch unklar. Um den eigenen Computer vor Spionageattacken abzusichern und die eigenen Daten zu schützen, sollte man Anhänge von unbekannten Absendern möglichst nicht öffnen und alle verwendeten Programme, sowie die Firewall und das Antivirenprogramm regelmäßig per Update aktualisieren.

Bild: © Antje Delater / PIXELIO

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz