CosmicDuke: Spionage-Trojaner greift u.a. gezielt Steroid-Dealer an

Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Bildquelle: / Flickr
Der im vergangenen Jahr entdeckte Trojaner "Miniduke" ist in neuer Gestalt wieder aufgetaucht und kommt in einer neuen Spionage-Kampagne zum Einsatz. Der veränderte Schädling wurde von den Experten bei Kaspersky Labs nun "CosmicDuke" getauft.
Miniduke richtete sich damals gegen eine große Bandbreite an Regierungseinrichtungen und versuchte dort, von infizierten Arbeitsplatz-Rechnern verschiedene Dokumente an seine Kommando-Infrastruktur weiterzuleiten. CosmicDuke hat es in der neuen Kampagne nun auf diplomatische Organisationen, den Energiesektor, Telekommunikationsbetreiber und Rüstungsunternehmen abgesehen. Im Visier stehen aber auch Einzelpersonen, die in den Handel und den Verkauf mit illegalen Substanzen involviert sind.

Die bisher bekannten Opfer zeigen, dass die Hintermänner ihren Aktionsradius ausweiten. CosmicDuke fungiert dabei unter anderem als Keylogger, sammelt diverse Daten, macht Screenshots und stiehlt Passwörter für beliebte Chat-Tools, E-Mail-Programme und Browser.

Bei der Analyse eines Kommando-Servers von CosmicDuke fand man eine Liste mit 139 einzelnen IP-Adressen von Opfern, die bis in den April 2012 zurückgeht. Die Betroffenen kommen dabei aus den folgenden Ländern: Georgien, Russland, USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, Ukraine und Litauen. Die ungewöhnlichsten Opfer waren dabei Einzelpersonen die beispielsweise mit Steroiden und Hormonen handeln. Diese wurden ausschließlich in Russland gefunden.

Angreifer mit 8-Stunden-Tag

"Dies ist ein bisschen ungewöhnlich, da wir normalerweise, wenn wir von APT-Attacken sprechen, an von staatlich gestützte Cyberspionage-Programme denken", erklärte Vitaly Kamluk, Sicherheitsforscher bei Kaspersky Lab. "Dies könnte zweierlei Gründe haben: Zum einen kann die Plattform BotGenStudio, die bei Miniduke verwendet wird, auch als so genanntes legales Spyware-Tool genutzt werden - ähnlich wie das Remote Control System (RCS) von HackingTeam von Strafverfolgungsbehörden genutzt wird. Zum anderen könnten Wettbewerber der Pharmaindustrie sich gegenseitig ausspionieren, weil im Untergrund leicht an das Tool zu kommen ist."

Obwohl an unterschiedlichen Stellen die englische Sprache verwendet wird, deuten verschiedene Indikatoren wie Zeichenketten, die den neuen Malware-Komponenten beigefügt wurden, darauf hin, dass es sich bei den Angreifern nicht um englische Muttersprachler handelt.Zudem hat die Kaspersky-Analyse ergeben, dass die Angreifer der klassischen Montag-bis-Freitag-Arbeitswoche folgten. Allerdings arbeiteten sie von Zeit zu Zeit auch am Wochenende. Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd / Flickr
Mehr zum Thema: Kaspersky
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Kaspersky Internet Security 2017 + Kaspersky Internet Security für 1 Android Gerät - [Online Code]
Kaspersky Internet Security 2017 + Kaspersky Internet Security für 1 Android Gerät - [Online Code]
Original Amazon-Preis
27,99
Im Preisvergleich ab
23,00
Blitzangebot-Preis
22,29
Ersparnis zu Amazon 20% oder 5,70

Beliebt im WinFuture-Preisvergleich

Tipp einsenden