PDF-Attacke ködert mit Fußball-WM

Im Unterschied zu breit gestreuten, Spam-artigen Angriffen per Mail sind gezielte Angriffe stets auf ein bestimmtes, potenzielles Opfer abgestimmt. Beiden Angriffsvarianten ist gemeinsam, dass oft Sicherheitslücken in populären Programmen ausgenutzt werden. So auch in diesem Fall, in dem die Fußball-WM in Südafrika als Aufhänger dient.

Im MessageLabs Intelligence Blog schildert Daren Lewis einen solchen gezielten Angriff auf einen Mitarbeiter eines nicht genannten Unternehmens. Die Mail ist von MessageLabs, einer Symantec-Tochter, abgefangen und untersucht worden. Lewis zeigt, wie solche Angriffe gewöhnlich ablaufen und nennt weitere Beispiele.

Der Täter stellt zunächst Ermittlungen an und sucht sich ein geeignetes Opfer in einem Unternehmen, an dessen interne Informationen er gelangen will. Dazu wählt er eine hochrangige Person im Unternehmen aus. Dann versucht er persönliche Informationen über sein Opfer heraus zu finden, etwa Hobbys und Interessen. Schließlich sendet er eine personalisierte Mail, die ein präpariertes Dokument enthält.

Im aktuellen Beispiel interessiert sich das ausgewählte Opfer offenbar für Fußball. Der Angreifer hat eine Mail geschickt, die eine PDF-Datei mit Exploit-Code enthält. Der sonstige Inhalt der Datei ähnelt dem eines PDF-Dokuments mit Informationen zur WM, das ein Reiseveranstalter ins Internet gestellt hat. Die präparierte Fassung nutzt eine im Februar von Adobe mit dem Update auf Adobe Reader 9.3.1 gestopfte Sicherheitslücke. Sie enthält ein TIFF-Bild, das in anfälligen Versionen des PDF-Betrachters einen Speicherüberlauf provoziert.