Neue Angriffswelle: MessageLabs Intelligence registriert modifizierte Bredolab-Variante

Trojaner lädt Spionagesoftware auf den PC, die Daten sammelt und auf einen Server überträgt

(23.02.10) - Die Experten von MessageLabs Intelligence haben eine gezielte Angriffswelle gegen sieben verschiedene Organisationen verzeichnet. Die Attacken erfolgen via E-Mail und richten sich hauptsächlich gegen Adressen aus den Bereichen Bildung und öffentliche Verwaltung.

Das Besondere: Bei allen Angriffen dieser Serie kam der Trojaner Bredolab zum Einsatz. Bredolab ist bislang regelmäßig in Spam-Wellen aus dem Botnetz Cutwail aufgetaucht. Er hängt den Mails als getarntes Programm an. Öffnet der Nutzer die Datei, lädt Bredolab normalerweise weitere Malware auf den Rechner. Diese Software schließt den PC an ein Botnet an oder erzeugt Popup-Fenster, die den Anwender zum Bezahlen vorgetäuschter Virenschutz-Abos auffordern.

Anders als bei bisher beobachteten Attacken mit Bredolab hat sich das Muster aber jetzt geändert: Statt der üblichen Malware lädt Bredolab in den registrierten Fällen Spionagesoftware auf den PC, die Daten sammelt und auf einen Server überträgt. Diese Programme wurden bisher nur von wenigen Antiviren-Software-Anbietern erkannt.

Was die Versandtechnik angeht, bleibt aber alles beim Alten: Die Analyse der IP-Adressen und Mail-Accounts, von denen die verseuchten Mails ausgingen, weist abermals auf das Botnezt Cutwail als Quelle hin. Wie bei anderen Angriffswellen aus diesem Netzwerk auch kommen die Mails von weltweit verteilten Ursprungsorten. (MessageLabs: Symantec: ma)