Virus-Veteran: "Beliebte" Malware hat 10 Jahre auf dem Buckel Virus-Veteran: "Beliebte" Malware hat 10 Jahre auf dem Buckel - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.05.2016 Rudolf Felser

Virus-Veteran: "Beliebte" Malware hat 10 Jahre auf dem Buckel

Die von Palo Alto Networks identifizierte Malware "Infy", die auch vom Iran genutzt wird, wird seit zehn Jahren bei gezielten Angriffen eingesetzt.

"Spware-Opa" Infy

"Spware-Opa" Infy

© security virus jamdesign - Fotolia.com

Palo Alto Networks hat mehrere verwandte Varianten einer bisher nicht veröffentlichten Malware-Familie identifiziert, die "Infy" benannt wurde. Diese Malware-Familie war offensichtlich an vom Iran aus durchgeführten E-Spionage-Angriffen beteiligt, die bis ins Jahr 2007 zurückreichen. Angriffe, die dieses Malware-Tool nutzen, waren bis zuletzt aktiv. Angriffskampagnen, die sehr begrenzt auftreten, können oft jahrelang versteckt ausgeführt werden. Wenn nur wenige Malware-Samples eingesetzt werden, ist es weniger wahrscheinlich, dass Sicherheitsforscher diese identifizieren und miteinander in Verbindung bringen.

Im Mai 2015 entdeckte Palo Alto Networks zwei E-Mails, die schädliche Dokumente enthielten. Die Mails stammten von einem kompromittierten Google-Mail-Konto in Israel und wurden an eine israelische Industrieorganisation gesendet. Eine E-Mail enthielt eine Microsoft-Powerpoint-Datei mit dem Namen "thanks.pps", die andere ein Microsoft-Word-Dokument mit dem Namen "request.docx". Etwa zur gleichen Zeit, erfasste auch WildFire eine E-Mail mit einem Word-Dokument namens "hello.docx" mit einem identischen Hash wie die früheren Word-Dokumente, diesmal an einen Empfänger der US-Regierung verschickt. Auf der Basis verschiedener Attribute dieser Dateien und der Funktionalität der installierten Malware hat Palo Alto Networks über 40 Varianten der Malware-Familie Infy identifiziert und gesammelt.

Die Angriffe, in denen Palo Alto Networks die Infy-Malware identifiziert hat, beginnen mit einer Speer-Phishing-E-Mail, die ein Word- oder Powerpoint-Dokument enthält. Diese angefügte Dokumentendatei wiederum enthält ein mehrstufiges selbstextrahierendes Executable-Archiv (SFX). Der Inhalt der Mail dient dazu, mittels Social Engineering den Empfänger dazu zu verleiten, die ausführbare Datei zu aktivieren. So öffnet sich zum Beispiel die PPS-Datei im Powerpoint-"Show"-Modus. Der Benutzer sieht eine Powerpoint-Seite, die scheinbar ein Video enthält. Der Empfänger wird so ausgetrickst, dass er auf "Run" klickt, wodurch die eingebettete SFX-Datei ausgeführt wird.

Die ausführbare Datei installiert eine dynamische Programmbibliothek, schreibt in den Autorun-Registrierungsschlüssel und wird nicht aktiviert bis zum Neustart. Nach dem Neustart überprüft die ausführbare Datei die Umgebung auf Antivirus-Software und verbindet sich dann zum C2-Server. Dann beginnt die Malware Daten über die Umgebung zu sammeln, bringt einen Keylogger in Stellung und stiehlt Browser-Passwörter und Inhalte wie Cookies, bevor die Daten übermittelt werden.

Nach einer umfassenden Analyse der Malware und C2-Infrastruktur zwischen diesen Samples hatte Palo Alto Networks genügend Anhaltspunkte, um auf ein typisches Verhaltensmuster zu schließen. Die Aktivität wurde über fast zehn Jahre beobachtet, wobei die Malware ständig verbessert und weiterentwickelt wurde. Das geringe Aktivitätsvolumen, der bewusst gewählte Fokus der Kampagne und maßgeschneiderte Inhalte lieferten Hinweise auf die Art der Ziele der Akteure. Palo Alto Networks ist der Ansicht, Aktivitäten aufgedeckt zu haben, die bereits seit rund zehn Jahren ausgeführt werden und überwiegend unter dem Radar stattfanden. Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist.

Kompromittierungsindikatoren (Indicators of Compromise, IOCs) finden sich in einem detaillierten Beitrag über die Malware auf der Website von Unit 42, dem Forschungszentrum von Palo Alto Networks. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr

Hosted by:    Security Monitoring by: