CosmicDuke: Spionage-Trojaner greift u.a. gezielt Steroid-Dealer an

Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Bildquelle: / Flickr
Der im vergangenen Jahr entdeckte Trojaner "Miniduke" ist in neuer Gestalt wieder aufgetaucht und kommt in einer neuen Spionage-Kampagne zum Einsatz. Der veränderte Schädling wurde von den Experten bei Kaspersky Labs nun "CosmicDuke" getauft.
Miniduke richtete sich damals gegen eine große Bandbreite an Regierungseinrichtungen und versuchte dort, von infizierten Arbeitsplatz-Rechnern verschiedene Dokumente an seine Kommando-Infrastruktur weiterzuleiten. CosmicDuke hat es in der neuen Kampagne nun auf diplomatische Organisationen, den Energiesektor, Telekommunikationsbetreiber und Rüstungsunternehmen abgesehen. Im Visier stehen aber auch Einzelpersonen, die in den Handel und den Verkauf mit illegalen Substanzen involviert sind.

Die bisher bekannten Opfer zeigen, dass die Hintermänner ihren Aktionsradius ausweiten. CosmicDuke fungiert dabei unter anderem als Keylogger, sammelt diverse Daten, macht Screenshots und stiehlt Passwörter für beliebte Chat-Tools, E-Mail-Programme und Browser.

Bei der Analyse eines Kommando-Servers von CosmicDuke fand man eine Liste mit 139 einzelnen IP-Adressen von Opfern, die bis in den April 2012 zurückgeht. Die Betroffenen kommen dabei aus den folgenden Ländern: Georgien, Russland, USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, Ukraine und Litauen. Die ungewöhnlichsten Opfer waren dabei Einzelpersonen die beispielsweise mit Steroiden und Hormonen handeln. Diese wurden ausschließlich in Russland gefunden.

Angreifer mit 8-Stunden-Tag

"Dies ist ein bisschen ungewöhnlich, da wir normalerweise, wenn wir von APT-Attacken sprechen, an von staatlich gestützte Cyberspionage-Programme denken", erklärte Vitaly Kamluk, Sicherheitsforscher bei Kaspersky Lab. "Dies könnte zweierlei Gründe haben: Zum einen kann die Plattform BotGenStudio, die bei Miniduke verwendet wird, auch als so genanntes legales Spyware-Tool genutzt werden - ähnlich wie das Remote Control System (RCS) von HackingTeam von Strafverfolgungsbehörden genutzt wird. Zum anderen könnten Wettbewerber der Pharmaindustrie sich gegenseitig ausspionieren, weil im Untergrund leicht an das Tool zu kommen ist."

Obwohl an unterschiedlichen Stellen die englische Sprache verwendet wird, deuten verschiedene Indikatoren wie Zeichenketten, die den neuen Malware-Komponenten beigefügt wurden, darauf hin, dass es sich bei den Angreifern nicht um englische Muttersprachler handelt.Zudem hat die Kaspersky-Analyse ergeben, dass die Angreifer der klassischen Montag-bis-Freitag-Arbeitswoche folgten. Allerdings arbeiteten sie von Zeit zu Zeit auch am Wochenende. Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd / Flickr
Mehr zum Thema: Kaspersky
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Aktuelle IT-Stellenangebote

Jetzt als Amazon Blitzangebot

Ab 10:30 Uhr AUKEY Sport Bluetooth Kopfhörer 4.1 Stereo Ohrhörer In Ear Bluetooth Kopfhörer mit Mikrofon für iOS und Android Handys iPad Laptops Tablet
AUKEY Sport Bluetooth Kopfhörer 4.1 Stereo Ohrhörer In Ear Bluetooth Kopfhörer mit Mikrofon für iOS und Android Handys iPad Laptops Tablet
Original Amazon-Preis
18,98
Im Preisvergleich ab
?
Blitzangebot-Preis
15,39
Ersparnis zu Amazon 19% oder 3,59
Nur bei Amazon erhältlich

Beliebt im WinFuture-Preisvergleich

Tipp einsenden