Ergebnis 1 bis 3 von 3

Thema: FinFisher - Spionage Software durch Putty, Skype, Truecrypt, VLC usw.

  1. #1
    100% 0-Ahnung Avatar von FLX
    Registriert
    Mar 2015
    Beiträge
    1,647
    Gefällt mir!
    949
    Du gefällst: 1,244

    FinFisher - Spionage Software durch Putty, Skype, Truecrypt, VLC usw.

    Eine neue Variante der Spionage-Malware FinFisher nutzt einen aufsehenerregenden Infektionsweg: Lokale Internetprovider schleusen als Man-in-the-Middle vergiftete Versionen vertrauenswürdiger Software wie TrueCrypt oder VLC Player auf die PCs.

    Antivirenforscher von ESET haben eine neue Variante der Überwachungssoftware FinFisher entdeckt, die in mindestens sieben Staaten zum Einsatz kam. Neben klassischen Infektionswegen konnten sie in zwei Staaten beobachten, wie die Malware auf einem eher ungewöhnlichen Weg – nämlich unter Mitwirkung von Internetprovidern – auf Rechner geschleust wurde. Um ausgewählten Opfern den Spionage-Trojaner unterzujubeln, leiteten sie beabsichtigte Downloads legitimer Software um.
    Immer dann, wenn ein Opfer eine gängige Software wie Putty, Skype, TrueCrypt, VLC Player, WhatsApp oder WinRAR herunterladen wollte, schickten die Provider dessen Browser per Umleitung (HTTP 307 Temporary Redirect) zu einem von den Angreifern kontrollierten Downloadserver. Die dort heruntergeladene Software war voll funktionsfähig, installierte aber in einigen Fällen den huckepack eingeschleusten Trojaner mit. Die Entscheidung über die Malware-Installation auf dem jeweiligen Zielrechner wurde serverseitig – also erst nach dem Redirect – getroffen. Nach welchen Kriterien dies geschah, ist bislang unklar.

    Laut ESET sind für die beschriebene Strategie weder ein Zero-Day-Exploit, wie er kürzlich im Zusammenhang mit FinFisher beobachtet wurde, noch Administratorenrechte nötig. Wurde der Weg über den Provider tatsächlich gewählt, dann dürfte es der erste bekannt gewordene Einsatz einer auf WikiLeaks dokumentierten, FinFlyISP genannten Deployment-Lösung sein, die exakt den beschriebenen Infektionsweg beherrschen soll.
    Motive unklar, Redirects noch immer aktiv

    Den Antivirenexperten von ESET zufolge wurde die betreffende FinFisher-Variante bislang schätzungsweise über 100 Mal in mindestens sieben Ländern installiert. Die Angriffe seien nicht großflächig, sondern sehr gezielt erfolgt. Auf Nachfrage von heise Security erklärte Candid Wüest, Principal Security Engineer bei Symantec, dass die entsprechenden exe-Files unter anderem in den USA, Frankreich, Deutschland, Japan gesichtet wurden, aber auch in Staaten mit Demokratiedefiziten wie der Türkei und Ägypten. Auch Marco Preuss, Director des europäischen Global Research & Analysis Teams von Kaspersky, bestätigte Dateifunde auf Rechnern in der Türkei.

    Laut ESET sind die bereits im April 2016 von den Providern eingerichteten Umleitungen nach wie vor aktiv. Alle Opfer nutzten unverändert denselben, innerhalb eines Landes jeweils identischen Provider. Auf Nachfrage erklärte ESET, dass man aus Gründen des Datenschutzes und der Sicherheit nicht in der Lage sei, mit den Opfern in Kontakt zu treten, um sie vor der womöglich noch immer bestehenden Gefahr zu warnen. Die betroffenen Länder nebst jeweils beteiligten Providern will ESET – ebenfalls "aus Sicherheitsgründen" – nicht nennen. Ungeklärt bleibt auch die Frage nach Tätern und Motiven.

    Hoher Aufwand, um unter dem Radar zu fliegen
    Gut einen Monat Arbeitszeit investierte der damit betraute ESET-Mitarbeiter in die Analyse der neuen FinFisher-Variante. Sie bringe diverse neue Methoden mit, um sich ihrer Entdeckung und anschließenden Untersuchung zu entziehen, darunter Techniken gegen Analysen in einer Sandbox, gegen das Debugging, gegen virtuelle Umgebungen und gegen Emulation. Der komplette Code des Schädlings sei gespickt mit Tricks gegen das Disassemblieren. Außerdem setzen die Programmierer auf eine bislang nicht gesehene, wahrscheinlich selbst entwickelte Methode zur Code-Virtualisierung zum Schutz ihrer Komponenten.
    You are offline
    Try:
    • Don't Panic
    • Look around
    • Interact with reality

  2. Diesen Mitgliedern gefällt dieser Beitrag:


  3. Werbung - Hier werben?
  4. #2
    ॐॐॐ-Music-ॐॐॐ Avatar von Scotty
    Registriert
    Mar 2015
    Alter
    41
    Beiträge
    323
    Gefällt mir!
    354
    Du gefällst: 245
    Und woher weiß man nun ob man betroffen ist oder nicht?
    Gibt es da irgendwas womit man testen kann ob man betroffen ist so ein Tool oder dergleichen?

    Gruß
    Scotty

    Musik ist ein Gefühl, was erst beim hören entsteht, also hör die Gefühle, spür sie und genieß jede Sekunde einer Kust.
    Meine Musik auf Hearthis.at | [Sammlung]-Warez-Seiten
    Wichtig!--| Boardregeln |--Wichtig!


  5. #3
    DNB-JUNK Avatar von DNBLOVER
    Registriert
    Jun 2016
    Beiträge
    236
    Gefällt mir!
    283
    Du gefällst: 99
    Das würde mich auch mal interessieren wie man merkt, dass man betroffen ist. Hoffentlich gibts da bald ein Tool um das zu überprüfen!
    Software is like sex, it's better when it's free!

Ähnliche Themen

  1. Cloudflare & Skype Resolver
    Von Empire im Forum Szene News (Webmaster, Downloads, etc.)
    Antworten: 0
    Letzter Beitrag: 12.04.2017, 13:47
  2. Truecrypt Bootloader entfernen
    Von lucifer im Forum Technik / Hardware & Software
    Antworten: 3
    Letzter Beitrag: 17.11.2016, 19:26
  3. Antworten: 0
    Letzter Beitrag: 18.08.2016, 15:24
  4. Spionage-Angriff auf deutsche Anwaltskanzleien
    Von RedDevil im Forum Allgemeine News
    Antworten: 0
    Letzter Beitrag: 27.04.2016, 12:47
  5. Kann mich per putty.exe nicht auf meinen Server verbinden
    Von LD im Forum Technik / Hardware & Software
    Antworten: 12
    Letzter Beitrag: 11.12.2015, 18:26

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
SzeneBox.org... im Mittelpunkt der Szene!
© since 2015 szeneBOX.org - All Rights Reserved
Domains: www.szenebox.org