Angreb udnytter hul i Adobe Reader

Artiklen blev oprindeligt publiceret den 28/2/2013

Angribere udnytter et sikkerhedshul i Adobe Reader, der blev lukket for nylig, til angreb på offentlige myndigheder primært i Europa. Angrebene ser ud til at være målrettede.

Sikkerhedsfirmaerne Kaspersky og Crysys Lab kalder det nye skadelige program MiniDuke. Det udnytter den sårbarhed, som Adobe lukkede med en rettelse til Reader den 20. februar. Den seneste version af MiniDuke er kompileret samme dag.

MiniDuke har inficeret pc'er hos 59 ofre i 23 lande. Danmark er ikke blandt landene, der blandt andet tæller en række europæiske lande foruden Japan, USA, Brasilien og et par i Mellemøsten.

Angrebet har form af en e-mail med et vedhæftet PDF-dokument. Dokumentet handler fx om en konference om menneskerettigheder eller Ukraines ansøgning om NATO-medlemskab. Hvis man åbner dokumentet med en sårbar Adobe Reader, placeres der et lille program på 20 KB på pc'en. Det installerer en bagdør skrevet i assembler.

Bagdøren modtager ordrer ved at følge bestemte Twitter-konti. Pc'erne i botnettet kan herefter sættes til at hente programmer, der er forklædt som GIF-filer.

Hver udgave af MiniDuke adskiller sig fra de andre, så det er svært for antivirusprogrammer at fange dem via signaturgenkendelse.

Anbefaling
Hold al software opdateret. Følg rådene i artiklerne fra Kaspersky og CrySys.

Links