Modifizierte Bredolab-Variante attackiert Bildungseinrichtungen

Die Experten von MessageLabs Intelligence haben eine gezielte Angriffswelle gegen sieben verschiedene Organisationen verzeichnet. Das Besondere: Bei allen Angriffen dieser Serie kam der Trojaner Bredolab zum Einsatz. Die Attacken erfolgen via E-Mail und richten sich hauptsächlich gegen Adressen aus den Bereichen Bildung und öffentliche Verwaltung.

Bredolab ist bislang regelmäßig in Spam-Wellen aus dem Botnetz Cutwail aufgetaucht. Er hängt den Mails als getarntes Programm an. Öffnet der Nutzer die Datei, lädt Bredolab normalerweise weitere Malware auf den Rechner. Diese Software schließt den PC an ein Botnet an oder erzeugt Popup-Fenster, die den Anwender zum Bezahlen vorgetäuschter Virenschutz-Abos auffordern.

Anders als bei bisher beobachteten Attacken mit Bredolab hat sich das Muster jetzt geändert: Statt der üblichen Malware lädt Bredolab in den registrierten Fällen Spionagesoftware auf den PC, die Daten sammelt und auf einen Server überträgt.

Was die Versandtechnik angeht, bleibt aber alles beim Alten: Die Analyse der IP-Adressen und Mail-Accounts, von denen die verseuchten Mails ausgingen, weist abermals auf das Botnetz Cutwail als Quelle hin. Wie bei anderen Angriffswellen aus diesem Netzwerk auch kommen die Mails von weltweit verteilten Ursprungsorten.

Viele der Adressen hat MessageLabs Intelligence bereits früher im Zusammenhang mit kriminellen Aktionen registriert. Beruhigend für Kunden von Symantec Hosted Services: Dank der Skeptic-Technologie wurden alle Angriffe abgewehrt, bevor die bösartige Fracht der E-Mails ihre Wirkung entfalten konnte.