Categories: Politik

Neue Variante des Staatstrojaners FinFisher

StrongPity2 nennt der Sicherheitsanbieter Eset die Nachfolge-Malware des auch von der deutschen Bundesregierung genutzten “Staatstrojaners” FinFisher. Die neue Variante könnte auch nötig geworden sein, weil Microsoft in diesem Jahr auch Lecks schloss, die die Funktion des Überwachungstools ermöglichten.

Der Eintrag in der Registry, über den sich manuell überprüfen lässt, ob man von dem FinFisher-Nachfolger StrongPity2 betroffen ist. (Bild: Eset)

Nun haben die Sicherheitsforscher von Eset in einem Blog neue Details. So sollen laut Ansicht der Experten auch Internet Service Provider beteiligt gewesen sein. Noch im September hatte Eset von einer FinFisher-Kampagne in zwei Ländern berichtet. Dabei wurde der Schädling über eine Man-in-the-Middle-Attacke verbreitet. Am dem Tag, an dem der Sicherheitsanbieter über diese Kampagne berichtet hatte, wurde die Aktion offenbar abgebrochen.

Wenige Tage Später beobachtete Eset in einem der betroffenen Ländern eine neue, ähnlich aufgebaute Attacke, die die Filter des IT-Sicherheitsanbieters als StrongPity2 detektierten. Dabei sei auch eine ungewöhnlich aufgebaute http-Weiterleitung zum Einsatz gekommen. Nutzer, die eine Software laden wollten, wurden so auf eine Fake-Webseite geleitet, auf der eine mit einer Variante von StrongPity infizierte Version zum Download angeboten wurde. Davon seien unter anderem die Programme CCleaner v 5.34, Driver Booster, der Opera Browser, Skype, der VLC Media Player v2.2.6 (32bit) und WinRAR 5.50 betroffen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Seit der Neuauflage des FinFisher-Attacke mit der StrongPity2-Variante habe Eset mehr als 100 infizierte Systeme erkannt. Neben eine Spionage-Funktion könne StrongPity2 “praktisch jede beliebige andere (bösartige) Software des Angreifers mit den Privilegien des kompromittierten Accounts herunterladen und ausführen”, warnen die Experten. Wer hinter der aktuellen Kampagne steht und welche Länder besonders davon betroffen sind, teilt Eset dagegen nicht mit.

FinFisher wird in Deutschland von dem Münchner Unternehmen Elaman vertrieben. Entwickelt wurde die Software von der britischen Gamma Group. Im Jahr 2013 hatte sich die Bundesregierung zum Kauf der umstrittenen Software entschieden und hatte für 10 Lizenzen und ein Jahr Nutzungsdauer knapp 150.000 Euro für die auch als FinSpy bezeichnete Software bezahlt. Das BKA plant nun mit dem Einsatz der Software. Inzwischen wurde auch die Gesetzeslage entsprechend geändert, so dass auch bei geringfügigen Vergehen wie Steuerhinterziehung oder Hehlerei der Trojaner zum Einsatz kommen kann.

Ausgewähltes Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Laut Eset lasse sich mit dem kostenlosen ESET Online Scanner eine Infektion feststellen und entfernen. Außerdem lässt sich eine Infektion auch Manuell feststellen. Dafür muss nach dem Ordner ‘%temp%\lang_be29c9f3-83we’ werden, in dem unter anderem die Hauptkomponente wmpsvn32.exe gespeichert ist. Ein weiterer Hinweis ist der Registry-Eintrag, der unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run mit dem Namen Help Manager zu finden ist. Darin ist im Datumsfeld %temp%\lang_be29c9f3-83we\wmpsvn32.exe enthalten. Für eine Manuelle Bereinigung muss der Hauptprozess wmpsvn32.exe beendet und der Ordner %temp%\lang_be29c9f3-83we sowie der Wert ‘Help Manager’ gelöscht werden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

2 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

3 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

20 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

20 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

23 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago