Suchen

Trend Micro warnt vor E-Mail-Angriff über Java-Sicherheitslücke Einladung zu tibetischem Filmfestival bringt Windows- und Mac-Malware

| Autor / Redakteur: Ivan Macalintal und andere / Peter Schmitz

Eine Malware, die als Einladung zu einem tibetischen Filmfestival getarnt ist infiziert derzeit Windows- und Mac-Rechner über eine Java-Sicherheitslücke.

Wieder ist es eine Schwachstelle in der Java Runtime, über die eine Malware Windows-PCs und Macs angreifen kann. Opfer sind Interessenten für ein tibetisches Filmfestival.
Wieder ist es eine Schwachstelle in der Java Runtime, über die eine Malware Windows-PCs und Macs angreifen kann. Opfer sind Interessenten für ein tibetisches Filmfestival.

Sicherheitsexperten von Trend Micro warnen vor einer neuen E-Mail-Angriffskampagne, die sich als Einladung zu einem tibetischen Filmfestival tarnt. Wer auf die in der Nachricht enthaltene Webadresse klickt, läuft Gefahr, seinen Rechner mit einer Spionagesoftware zu infizieren. Diese ist in der Lage, sämtliche Dateien und Verzeichnisse zu durchforsten und Daten an den Befehls- und Kontrollserver zu übertragen. Betroffen sind sowohl Windows- als auch Mac-OS-X-Nutzer.

Der Angriff im Detail

Die Malware ist eine gezielte Angriffskampagne, die das Interesse der Welt an Tibet als Köder nutzt, um Zielsysteme zu infiltrieren. Wieder sind sowohl Windows- als auch Mac-Systeme betroffen. Klickt ein Opfer den in der E-Mail (siehe Bilderstrecke) enthaltenen Link an, so wird er auf eine Webseite umgeleitet, auf der ein Skript prüft, ob der Anwender einen Windows-PC oder einen Mac nutzt.

Bildergalerie

Das Skript nutzt dann eine Schwachstelle (CVE-2011-3544) in der Java-Runtime aus und lädt ein Java-Applet (JAVA_RHINO.AE). Danach wird entweder ein Safsis-Trioaner für die Windows-Systeme oder der OSX/Olyx-Trojaner für Mac OS X auf dem Opfersystem installiert. Beide Schädlinge berichten an denselben Command&Control-Server und besitzen Funktionen, mit denen sie Dateien hoch und herunter laden sowie durch Dateien und Ordner browsen können.

Ähnlichkeiten zu früheren Angriffen

Der bei diesem Angriff verwendete Olyx-Trojaner erinnert nach Angaben von Security-Experten bei Microsoft im Code an den Gh0St RAT Trojaner. Der selbe C&C-Server war sowohl in einer Gh0st RAT-Attacke der letzten Zeit als auch in einer gegen Mac OSX-Nutzer beteiligt, so die Trend Micro-Experten.

Trend Micro-Anwender sind gegen diesen Java-Schädling durch das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt und entfernt die Malware. Außerdem müssen Anwender von Trend Micro Deep Security die Regel 1004867 "Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability" aktivieren, um ihr Netzwerk vor dem Angriff zu schützen.

(ID:32967710)