Suchen

Jeetrat-Backdoor macht sich Prism-Hype zunutze Java-basiertes Remote Access Tool

| Redakteur: Stephan Augsten

Antivirus-Experten von Symantec sind auf ein Remote Access Tool gestoßen, das im Rahmen einer Spam-Kampagne verteilt wird. Das Besondere: Bei einem Dateianhang handelt es sich um ein ausführbares Java-Applet, das prinzipiell unter jedem Desktop-Betriebssystem lauffähig ist.

Das Jeetrat-Backdoor hat es vornehmlich auf Behörden in den USA, Deutschland und Großbritannien abgesehen.
Das Jeetrat-Backdoor hat es vornehmlich auf Behörden in den USA, Deutschland und Großbritannien abgesehen.
(Bild: Symantec)

Behörden und andere staatliche Einrichtungen sind das Ziel einer aktuellen Spam-Kampagne, die sich den Hype um das NSA-Überwachungsprogramm Prism zunutze macht. Die E-Mail enthält zwei normale PDF-Dokumente und eine JAR-Datei, die allesamt das Wort Prism im Dateinamen aufweisen.

Klickt der E-Mail-Empfänger auf die JAR-Datei, dann startet ein entsprechendes Java-Applet, sofern die Laufzeitumgebung installiert ist. Bei der Mini-Anwendung handelt es sich um das Remote Access Tool jRAT, eine Software für entfernte Zugriffe. In der Symantec-Datenbank wird die Datei als Backdoor.Jeetrat geführt.

Nach dem Applet-Start hat ein externer Angreifer die volle Kontrolle über das Zielsystem. Dank der Java-Basis lassen sich prinzipiell nicht nur Windows-Rechner, sondern auch Systeme unter Linux, Mac OSX, FreeBSD und OpenBSD sowie Solaris kompromittieren. Symantec hat nach eigenen Angaben allerdings noch nicht geprüft, welche Betriebssysteme wirklich anfällig sind.

Bei seinen Recherchen hat der Antivirus-Hersteller ein RTF-Dokument entdeckt, das auf denselben Command-and-Control-Server hindeutet. Die Angreifer haben laut Symantec also ihre Strategie gewechselt und verzichten vorerst auf das Versenden infiziertet Dokumente. Dank Java sei die Attacke nicht nur einfacher geworden, sondern auch virulenter und stabiler.

Über 20 Prozent der attackierten Systeme stehen in den USA, jeweils zehn Prozent der Angriffe richteten sich gegen Behörden in Großbritannien und Deutschland. Weitere Informationen zu jRAT und anderer Java-basierter Malware im Symantec-Blog.

(ID:42211574)