tom's networking guide
 
Anzeige
Trend Micro und Microsoft erweitern strategische Partnerschaft >
< Kaspersky warnt: Gefahr in der Cloud durch Sync-Funktionen
08.07.14 16:29 Alter: 6 Jahre
Kategorie: Unternehmens-News, Heim-Anwender, Gamer, Administratoren, KMU, SOHO, Sicherheit, Security, Anti-Virus, Anti-Spam
Von: Maurice Hempel

Neue Malware entdeckt: "CosmicDuke" weckt Erinnerung an gefährliche Trojaner

Mehrere IT-Sicherheits-Spezialisten warnen vor CosmicDuke, einer Kombination aus verschiedenen Spionage-Malwares.


Spion (c) Dino-Verlag

Spion (c) Dino-Verlag

F-Secure-Logo

F-Secure-Logo

Kaspersky-Logo

Kaspersky-Logo

München – Die Labore des finnischen IT-Sicherheits-Spezialisten F-Secure haben neue Malware entdeckt, die auf effektive Art die Eigenschaften des Spionage-Virus "MiniDuke" mit der Malware "Cosmu" kombiniert. Die neue Schad-Software namens "CosmicDuke" verbreitet sich aktuell in den ost-europäischen Ländern und in der Türkei. Um seine gefährlichen Inhalte zu übermitteln setzt CosmicDuke, ähnlich wie der MiniDuke-Trojaner aus dem Jahr 2013, auf gefälschte PDF-Dokumente und Bilddateien. Sofort nach dem Öffnen der Dateien beginnt der Virus damit, persönlichen Daten des Users auszulesen und zu sammeln.

"Die User werden entweder dazu angehalten, ein infiziertes PDF zu öffnen, das eine Exploit-Lücke enthält, oder werden durch einen als PDF bzw. Bilddatei getarnten Virus in die Falle gelockt", erklärt Sean Sullivan von F-Secure. "Sobald die Datei geöffnet wird, beginnt der Angriff in Form einer weitreichenden Sammlung von Daten via Keylogger, Screenshots, dem Abgreifen von Daten aus der Zwischenablage und vielem mehr. So werden beispielsweise auch Passwörter abgefangen, Festplatteninhalte gestohlen und Verschlüsselungszertifikate inklusive der zugehörigen Schlüssel entwendet."

Anschließend sendet CosmicDuke das Diebesgut per FTP (File Transfer Protocol) sowie über drei verschiedene HTTP-Protokolle (Hypertext Transfer Protocol) an unterschiedliche Server. Da CosmicDuke nach dem ersten Angriff meist unentdeckt auf dem infizierten Rechner bleibt, kann der Virus seine Angriffe beliebig oft wiederholen. Im Gegensatz zu MiniDuke, der vor allem Rechner von Regierungen und öffentlichen Behörden ins Visier genommen hatte, führt CosmicDuke mit dem Bestehlen privater Nutzer-Daten eher konventionelle Cybercrime-Attacken aus. Die Experten von F-Secure sehen in der Arbeitsweise von CosmicDuke jedoch genügend Potential, mit dem durchaus auch Staaten straff organisierte Spionage-Attacken starten können.

Nach den Analysen des F-Secure-Labs setzt sich CosmicDuke aus verschiedenen Malware-Typen zusammen. So sei es durchaus möglich, dass die Programmierer von Cosmu den Entwicklern von MiniDuke folgen. Sean Sullivan erklärt: "Dies wäre ein bemerkenswerter Schritt, denn die Grenzen verschwimmen nun. In der Vergangenheit wurde vergleichbare Malware zunächst vor allem von Kleinkriminellen entwickelt und Schritt für Schritt von kriminellen Organisationen eingesetzt, die finanzielle Motive hatten."

Kaspersky Labs hat sich ebenfalls des CosmicDuke angenommen: Die russischen IT-Sicherheits-Experten gehen allerdings davon aus, dass es der Schädling neben privaten Nutzern zudem auf diplomatische Organisationen, den Energiesektor, Telekommunikations-Anbieter und Rüstungs-Unternehmen abgesehen hat. Selbst Drogen-Dealer sollen unter den Opfern der Cyber-Attacke sein. Die Liste der Opfer sei für Beweis dafür, dass die Hintermänner von MiniDuke ihren Aktionsradius erweitert haben. So ergab die Kaspersky-Analyse eines Servers von CosmicDuke eine Liste mit 139 einzelnen IP-Adressen aus den Ländern Georgien, Russland, USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, Ukraine und Litauen. Für die Verbreitung des Malware-Hybriden nutzen die Angreifer demnach ein Framework namens "BotGenStudio". Interessant ist zudem, dass Angreifer einer klassischen Montag-bis-Freitag-Woche folgen, wobei ein Großteil der Arbeit von sechs Uhr morgens bis vier Uhr nachmittags (GTM) geschehen ist.

Die Lösungen von Kaspersky Lab erkennen das CosmicDuke-Backdoor als Backdoor.Win32.CosmicDuke.gen und Backdoor.Win32.Generic.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige