Dritte Malware mit Verbindung zu kanadischen Nachrichtendienst-Dokumenten entdeckt
Archivmeldung vom 07.03.2015
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 07.03.2015 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten Schmitt
Nach Babar und EvilBunny wurde mit Casper ein weiteres Mitglied der Cartoon Malware Familie entdeckt. Die G DATA Sicherheitsexperten vermuten, dass Casper der Nachfolger von Babar und EvilBunny ist und von den gleichen Programmierern entwickelt wurde – möglicherweise mit Verbindungen zum französischen Nachrichtendienst.
Die Informationen zu der Malware stammen ursprünglich aus Dokumenten des kanadischen Nachrichtendienstes CSEC (Communication Security Establishment Canada), die im Zuge der Snowden-Enthüllungen bekannt wurden. Casper weist allerdings interessante Veränderungen zu seinen Vorfahren auf: Die Malware ist modular aufgebaut, um je nach Ziel passende Schadsoftware nachzuladen und hat eine Taktik gegen Sicherheitslösungen an Bord.
Babar konnte bereits die auf dem System installierte Sicherheitslösung identifizieren. Casper geht einen Schritt weiter und kann neben der Identifizierung verschiedene Strategien initiieren, um die Erkennung durch die Sicherheits-Software zu umgehen. Die Analyse hat gezeigt, dass Casper über eine Sicherheitslücke im Adobe Flash Player (Zero-Day-Exploit) auf den Computer gelangt. Seine Kommandos erhält die Malware von einer Webseite, die auf das syrische Justizministerium registriert ist. Auf dieser Internetseite können sich syrische Bürger über die Verletzung von Gesetzesverstößen beschweren.
Detaillierte Informationen zu Casper erhalten Sie im G DATA SecurityBlog:
Die Analyse zur Malware Babar gibt es hier: https://blog.gdata.de/artikel/babar-spionagesoftware-endlich-gefunden-und-unter-die-lupe-genommen/
Quelle: G DATA
Videos
Termine
Newsletter
News-Feed
Anzeige