THEMEN

Eine fast unbemerkte Attacke gegen PDF Nutzer wurde von Symantec entdeckt
Veröffentlicht am Freitag, 24.September 2010 von Redaktion


Vor wenigen Tagen warnten Sicherheitsexperten vor dem Here You Have Wurm. Die Schadsoftware wurde per e-Mail mit dem Betreff: Here you have verbreitet. Symantec berichtet, dass beinahe zeitgleich von dem Expertenteam von MessageLabs Intelligence, der Analyse-Abteilung von Symantec Hosted Services, eine aufwändige Attacke gegen PDF-Nutzer abgefangen werden konnte.



Der sogenannte "Here You Have"-Wurm sorgte vor wenigen Tagen für viel Aufregung, da politische Hintergründe hinter der Attacke vermutet wurden. Nun wurde bekannt, dass beinahe zeitgleich eine aufwändige Attacke gegen PDF-Nutzer von dem MessageLabs Intelligence Expertenteam, der Analyse-Abteilung von Symantec Hosted Services abgefangen werden konnte. Die Aufregung um die Schadsoftware mit dem Betreff "Here you have" sorgte dafür, dass dem Zero-Day-Angriff wenig Beachtung zuteil wurde.

Dieser Zero-Day-Angriff ist jedoch ein gutes Beispiel für den Aufbau, welchen solch gezielte Aktionen mittlerweile haben. Ein komplexer und sehr intelligent programmierter Schadcode wird für eine spezielle Sicherheitslücke in einer Anwendung konzipiert und mittels Social-Engineering-Techniken an den arglosen Nutzer geschickt. In dem von Symantec beschriebenem Angriff landeten e-Mails mit angehängten PDF-Dateien in den Postfächern der potentiellen Opfern. Den Empfängern der e-Mails wurden in den Nachrichten kostenlose Golf-Kurse, hochwertige Reisen nach China oder die Teilnahme an einer Experten-Runde zu politischen Themen versprochen.

Alle diese vorgeblichen Angebote sollten dafür sorgen, dass die Empfänger der e-Mails den Anhang öffnen. Sobald der Anhang angeklickt wurde überprüfte das JavaScript basierte Schadprogramm zunächst welche Version des PDF-Readers installiert war. Im Anschluss daran wählte das Programm automatisch die passende Seite in dem PDF-Dokument aus, in welcher die manipulierten True Type Fonts eingebettet waren.

Die Angreifer hatten in dem Quellcode dieser normalerweise harmlosen Schriftart-Dateien ihre eigenen Programmroutinen versteckt und diese damit zu Malware umfunktioniert. War keine der eingebauten Versionen mit der vorhandenen Readers-Variante kompatibel, wurde der Internet-Nutzer von dem Angriffsprogramm aufgefordert ein Update zu installieren. Sicherheitsexperten warnen immer wieder davor e-Mails unbekannter Herkunft unbedacht zu öffnen


Links zum Thema:



letzten News

  DSGVO Besonnenheit statt Panik
 
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
RegistryBooster
Anti Virus Firewall