Neue Variante des Staatstrojaners FinFisher

RegulierungÜberwachung

Regierungen weltweit haben jahrelang FinFisher oder FinSpy zu Überwachungszwecken eingesetzt. Nun gibt es offenbar eine neue Variante.

StrongPity2 nennt der Sicherheitsanbieter Eset die Nachfolge-Malware des auch von der deutschen Bundesregierung genutzten “Staatstrojaners” FinFisher. Die neue Variante könnte auch nötig geworden sein, weil Microsoft in diesem Jahr auch Lecks schloss, die die Funktion des Überwachungstools ermöglichten.

Der Eintrag in der Registry, über den sich manuell überprüfen lässt, ob man von dem FinFisher-Nachfolger StrongPity2 betroffen ist. (Bild: Eset)
Der Eintrag in der Registry, über den sich manuell überprüfen lässt, ob man von dem FinFisher-Nachfolger StrongPity2 betroffen ist. (Bild: Eset)

Nun haben die Sicherheitsforscher von Eset in einem Blog neue Details. So sollen laut Ansicht der Experten auch Internet Service Provider beteiligt gewesen sein. Noch im September hatte Eset von einer FinFisher-Kampagne in zwei Ländern berichtet. Dabei wurde der Schädling über eine Man-in-the-Middle-Attacke verbreitet. Am dem Tag, an dem der Sicherheitsanbieter über diese Kampagne berichtet hatte, wurde die Aktion offenbar abgebrochen.

Wenige Tage Später beobachtete Eset in einem der betroffenen Ländern eine neue, ähnlich aufgebaute Attacke, die die Filter des IT-Sicherheitsanbieters als StrongPity2 detektierten. Dabei sei auch eine ungewöhnlich aufgebaute http-Weiterleitung zum Einsatz gekommen. Nutzer, die eine Software laden wollten, wurden so auf eine Fake-Webseite geleitet, auf der eine mit einer Variante von StrongPity infizierte Version zum Download angeboten wurde. Davon seien unter anderem die Programme CCleaner v 5.34, Driver Booster, der Opera Browser, Skype, der VLC Media Player v2.2.6 (32bit) und WinRAR 5.50 betroffen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Seit der Neuauflage des FinFisher-Attacke mit der StrongPity2-Variante habe Eset mehr als 100 infizierte Systeme erkannt. Neben eine Spionage-Funktion könne StrongPity2 “praktisch jede beliebige andere (bösartige) Software des Angreifers mit den Privilegien des kompromittierten Accounts herunterladen und ausführen”, warnen die Experten. Wer hinter der aktuellen Kampagne steht und welche Länder besonders davon betroffen sind, teilt Eset dagegen nicht mit.

FinFisher wird in Deutschland von dem Münchner Unternehmen Elaman vertrieben. Entwickelt wurde die Software von der britischen Gamma Group. Im Jahr 2013 hatte sich die Bundesregierung zum Kauf der umstrittenen Software entschieden und hatte für 10 Lizenzen und ein Jahr Nutzungsdauer knapp 150.000 Euro für die auch als FinSpy bezeichnete Software bezahlt. Das BKA plant nun mit dem Einsatz der Software. Inzwischen wurde auch die Gesetzeslage entsprechend geändert, so dass auch bei geringfügigen Vergehen wie Steuerhinterziehung oder Hehlerei der Trojaner zum Einsatz kommen kann.

Ausgewähltes Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Laut Eset lasse sich mit dem kostenlosen ESET Online Scanner eine Infektion feststellen und entfernen. Außerdem lässt sich eine Infektion auch Manuell feststellen. Dafür muss nach dem Ordner ‘%temp%\lang_be29c9f3-83we’ werden, in dem unter anderem die Hauptkomponente wmpsvn32.exe gespeichert ist. Ein weiterer Hinweis ist der Registry-Eintrag, der unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run mit dem Namen Help Manager zu finden ist. Darin ist im Datumsfeld %temp%\lang_be29c9f3-83we\wmpsvn32.exe enthalten. Für eine Manuelle Bereinigung muss der Hauptprozess wmpsvn32.exe beendet und der Ordner %temp%\lang_be29c9f3-83we sowie der Wert ‘Help Manager’ gelöscht werden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen