13 neue Trojaner nehmen Kurs auf Olympia

In den letzten sechs Monaten hat MessageLabs 13 verschiedene Angriffe mit Olympia-Bezug identifiziert, die in mehreren datenintensiven Branchen erfolgt sind. Mit legitim klingenden E-Mail-Betreffzeilen wie “The Beijing 2008 Torch Relay” (“Der Fackelstaffellauf zu Beijing 2008”) und “National Olympic Committee and Ticket Sales Agents” (“Nationales Olympisches Komitee und Ticket-Verkauf”) versuchen viele der Angriffe den Eindruck zu erwecken, dass das Internationale Olympische Komitee in Lausanne der Absender ist. Ein Blick auf die IP-Adressen verrät jedoch die gefälschten olympischen Botschaften, die bis auf eine alle ihren Ursprung im asiatisch-pazifischen Raum haben.

Gezielte Trojaner werden gewöhnlich auf Einzelpersonen innerhalb eines Unternehmens angesetzt, um Netzwerke zu Spionagezwecken zu infiltrieren. Im Gegensatz zum Massenversand einiger anderer Malware-Typen handelt es sich bei diesen gezielten Angriffen zumeist um eine kleine Stückzahl. Nach Angaben von MessageLabs kommen Social-Engineering-Techniken wie etwa Personalisierung zum Einsatz, um den Empfänger dazu zu verleiten, die E-Mail und das Attachment zu öffnen.

Hacker weichen zudem immer wieder auf neue Datei-Formate aus, um ihre Malware zu verbreiten und eine Aufspürung durch herkömmliche Anti-Virus-Mechanismen zu unterlaufen. Auch werden oft harmlose und gängige Attachment-Typen verwendet, die üblicherweise nicht geblockt werden. In den neuesten Fällen kommen häufig Microsoft Office Database (MDB)-Dateien zum Einsatz, die gewöhnlich in ZIP-Dateien eingebettet sind. Sobald der Download einer MDB-Datei erfolgt ist, setzt der MDB Exploit eine EXE-Datei zur Datenspionage auf der Festplatte aus.

Die Sicherheitsexperten von MessageLabs gehen davon aus, dass die Hacker in den kommenden Jahren ihre Taktik variieren und auch Formate wie 1 Byte XOR Key, Multiple XOR Keys sowie ROR, ROL, ADD und SUB für ihre Zwecke missbrauchen werden.