Trend Micro warnt vor E-Mail-Angriff über Java-Sicherheitslücke

Einladung zu tibetischem Filmfestival bringt Windows- und Mac-Malware

| Autor / Redakteur: Ivan Macalintal und andere / Peter Schmitz

Wieder ist es eine Schwachstelle in der Java Runtime, über die eine Malware Windows-PCs und Macs angreifen kann. Opfer sind Interessenten für ein tibetisches Filmfestival.
Wieder ist es eine Schwachstelle in der Java Runtime, über die eine Malware Windows-PCs und Macs angreifen kann. Opfer sind Interessenten für ein tibetisches Filmfestival.

Eine Malware, die als Einladung zu einem tibetischen Filmfestival getarnt ist infiziert derzeit Windows- und Mac-Rechner über eine Java-Sicherheitslücke.

Sicherheitsexperten von Trend Micro warnen vor einer neuen E-Mail-Angriffskampagne, die sich als Einladung zu einem tibetischen Filmfestival tarnt. Wer auf die in der Nachricht enthaltene Webadresse klickt, läuft Gefahr, seinen Rechner mit einer Spionagesoftware zu infizieren. Diese ist in der Lage, sämtliche Dateien und Verzeichnisse zu durchforsten und Daten an den Befehls- und Kontrollserver zu übertragen. Betroffen sind sowohl Windows- als auch Mac-OS-X-Nutzer.

Der Angriff im Detail

Die Malware ist eine gezielte Angriffskampagne, die das Interesse der Welt an Tibet als Köder nutzt, um Zielsysteme zu infiltrieren. Wieder sind sowohl Windows- als auch Mac-Systeme betroffen. Klickt ein Opfer den in der E-Mail (siehe Bilderstrecke) enthaltenen Link an, so wird er auf eine Webseite umgeleitet, auf der ein Skript prüft, ob der Anwender einen Windows-PC oder einen Mac nutzt.

Das Skript nutzt dann eine Schwachstelle (CVE-2011-3544) in der Java-Runtime aus und lädt ein Java-Applet (JAVA_RHINO.AE). Danach wird entweder ein Safsis-Trioaner für die Windows-Systeme oder der OSX/Olyx-Trojaner für Mac OS X auf dem Opfersystem installiert. Beide Schädlinge berichten an denselben Command&Control-Server und besitzen Funktionen, mit denen sie Dateien hoch und herunter laden sowie durch Dateien und Ordner browsen können.

Ähnlichkeiten zu früheren Angriffen

Der bei diesem Angriff verwendete Olyx-Trojaner erinnert nach Angaben von Security-Experten bei Microsoft im Code an den Gh0St RAT Trojaner. Der selbe C&C-Server war sowohl in einer Gh0st RAT-Attacke der letzten Zeit als auch in einer gegen Mac OSX-Nutzer beteiligt, so die Trend Micro-Experten.

Trend Micro-Anwender sind gegen diesen Java-Schädling durch das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt und entfernt die Malware. Außerdem müssen Anwender von Trend Micro Deep Security die Regel 1004867 "Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability" aktivieren, um ihr Netzwerk vor dem Angriff zu schützen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 32967710 / Malware)