Symantec-Spezialisten warnen
Zero-Day-Attacke: Mit dem PDF kommt die Malware
Der "Here You Have"-Wurm sorgte kürzlich für einigen Wirbel - vor allem wegen der angeblichen politischen Hintergründe des Cyber-Angriffs. Beinahe zeitgleich konnten die Experten von Message Labs Intelligence, der Analyseabteilung von Symantec Hosted Services, eine aufwändige Attacke gegen PDF-Nutzer abfangen. Der Zero-Day-Angriff fand weniger Beachtung, ist aber ein gutes Beispiel für den Aufbau, den solche gezielten Aktionen inzwischen häufig haben: Komplexer, intelligent programmierter Schadcode wird auf eine Sicherheitslücke in einer Anwendung zugeschnitten und mittels Social-Engineering-Techniken an den arglosen Nutzer gebracht.
In diesem Fall erreichten Mails mit angehängten PDF-Dateien die Postfächer. Die Nachrichten
versprachen kostenlose Golfkurse, hochwertige Reisen nach China oder die Teilnahme an einer
Expertenrunde zu politischen Themen. Ziel war immer, den Nutzer zum Öffnen des Anhangs zu bewegen.
Einmal angeklickt, prüfte das Javascript-basierende Schadprogramm zunächst, welche Version des
PDF-Readers installiert war. Anschließend wählte das Programm automatisch die passende Seite im
PDF-Dokument aus. Dort waren manipulierte True Type Fonts eingebettet. Im Quellcode dieser
normalerweise harmlosen Schriftartdateien hatten die Angreifer ihre eigenen Programmroutinen
versteckt und sie damit zu Malware umfunktioniert. Passte keine der integrierten Varianten zur
vorhandenen Version des Readers, forderte das Angriffsprogramm den Nutzer auf, ein Update zu
installieren.
Einmal mehr zeigt sich hier, dass Dateien im PDF-Format in Kombination mit Javascript zu
besonders tückischen Waffen für Cybergangster werden. Besonders die Möglichkeit, aktiven Code in
die Dokumente einzubetten, macht das Format bei Kriminellen beliebt.
Weitere Informationen zu der Attacke finden sich unter
www.symantec.com/connect/blogs/pdf-zero-day-targeted-attack-practically-unnoticed-due-here-you-have-virus.
LANline/jos
Lesen Sie mehr zum Thema
