Jeetrat-Backdoor macht sich Prism-Hype zunutze

Java-basiertes Remote Access Tool

| Redakteur: Stephan Augsten

Das Jeetrat-Backdoor hat es vornehmlich auf Behörden in den USA, Deutschland und Großbritannien abgesehen.
Das Jeetrat-Backdoor hat es vornehmlich auf Behörden in den USA, Deutschland und Großbritannien abgesehen. (Bild: Symantec)

Antivirus-Experten von Symantec sind auf ein Remote Access Tool gestoßen, das im Rahmen einer Spam-Kampagne verteilt wird. Das Besondere: Bei einem Dateianhang handelt es sich um ein ausführbares Java-Applet, das prinzipiell unter jedem Desktop-Betriebssystem lauffähig ist.

Behörden und andere staatliche Einrichtungen sind das Ziel einer aktuellen Spam-Kampagne, die sich den Hype um das NSA-Überwachungsprogramm Prism zunutze macht. Die E-Mail enthält zwei normale PDF-Dokumente und eine JAR-Datei, die allesamt das Wort Prism im Dateinamen aufweisen.

Klickt der E-Mail-Empfänger auf die JAR-Datei, dann startet ein entsprechendes Java-Applet, sofern die Laufzeitumgebung installiert ist. Bei der Mini-Anwendung handelt es sich um das Remote Access Tool jRAT, eine Software für entfernte Zugriffe. In der Symantec-Datenbank wird die Datei als Backdoor.Jeetrat geführt.

Nach dem Applet-Start hat ein externer Angreifer die volle Kontrolle über das Zielsystem. Dank der Java-Basis lassen sich prinzipiell nicht nur Windows-Rechner, sondern auch Systeme unter Linux, Mac OSX, FreeBSD und OpenBSD sowie Solaris kompromittieren. Symantec hat nach eigenen Angaben allerdings noch nicht geprüft, welche Betriebssysteme wirklich anfällig sind.

Bei seinen Recherchen hat der Antivirus-Hersteller ein RTF-Dokument entdeckt, das auf denselben Command-and-Control-Server hindeutet. Die Angreifer haben laut Symantec also ihre Strategie gewechselt und verzichten vorerst auf das Versenden infiziertet Dokumente. Dank Java sei die Attacke nicht nur einfacher geworden, sondern auch virulenter und stabiler.

Über 20 Prozent der attackierten Systeme stehen in den USA, jeweils zehn Prozent der Angriffe richteten sich gegen Behörden in Großbritannien und Deutschland. Weitere Informationen zu jRAT und anderer Java-basierter Malware im Symantec-Blog.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42211574 / Malware)