Wieder legt Mail-Angriffskampagne das Thema Tibet als Köder für Windows- und Mac-Nutzer aus

Originalartikel von Ivan Macalintal, Threat Research Manager

Die Sicherheitsforscher von Trend Micro haben zum wiederholten Mal eine gezielte Angriffskampagne entdeckt, die — ähnlich der vor ein paar Wochen — das Interesse der Welt an Tibet als Köder nutzt, um Zielsysteme zu infiltrieren. Und ja, wieder sind sowohl Windows- als auch Mac-Systeme betroffen. Der Angriff startet mit folgender E-Mail:

Klickt ein Opfer den enthaltenen Link an, so wird er auf eine Webseite mit einem Skript umgeleitet, dass prüft, ob der Nutzer Windows oder einen Mac nutzt:

Das Skript lädt ein Java-Applet (JAVA_RHINO.AE), indem es eine Schwachstelle in der Java-Laufzeitumgebung (CVE-2011-3544) ausnützt. Danach wird entweder ein SASFIS-Hintertürschädling (BKDR_SASFIS.EVL) für Windows oder OLYX (OSX_OLYX.EVL) für Mac OSX auf dem Zielsystem installiert. Beide Schädlinge berichten an denselben Command&Control-Server und besitzen Funktionen, mit denen sie Dateien hoch und herunter laden sowie durch Dateien und Ordner browsen können, um Daten zu extrahieren.

Dies erinnert an den Blogeintrag von Microsoft zu OLYX, der eine Ähnlichkeit des Codes zu Gh0St RAT feststellt. Der Code stellt eine der beliebtesten Backdoor Payloads dar, die in APT-Angriffen genutzt wurde, die auch tibetfreundliche Organisationen zum Ziel hatten. Derselbe C&C-Server war sowohl in einer Gh0st RAT-Attacke der letzten Zeit als auch in einer gegen Mac OSX-Nutzer beteiligt, so die Trend Micro-Experten.

Trend Micro-Anwender sind gegen diesen Java-Schädling durch das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt und entfernt die Malware. Außerdem müssen Anwender von Trend Micro Deep Security die Rule 1004867 – Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability aufbringen, um ihr Netzwerk vor dem Angriff zu schützen.

Ein Gedanke zu „Wieder legt Mail-Angriffskampagne das Thema Tibet als Köder für Windows- und Mac-Nutzer aus

  1. Pingback: Spionageangriff: Einladung zu tibetischem Filmfestival ködert Windows- und Mac-Anwender | Mac Releases

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*