Kaspersky warnt vor Malware aus Syrien

Der syrische Bürgerkrieg führt auch zu einer ständig wachsenden Zahl von Cyberangriffen gegen Internetnutzer, warnt Kaspersky Lab. Das Global Research & Analysis Team der russischen Sicherheitsfirma fand Malware, die insbesondere auf Medienagenturen, Aktivisten und Dissidenten zielt. Die Attacken erfolgen häufig über Social-Networking-Plattformen, Youtube, Skype und E-Mail.

Entdeckt wurden 110 verschiedene bösartige Dateien, die für Angriffe in Syrien und der Region benutzt wurden – laut Kaspersky eine „dramatische Zunahme“ gegenüber dem letzten Jahr. Die Sicherheitsforscher gehen von mehr als 10.000 Opfern aus, zumal einige dieser Dateien über 2000-mal heruntergeladen wurden. Sie enthalten oft den Code einer Fernwartungssoftware, die alle Tastatureingaben aufzeichnen, Mikrofon und Webcam aktivieren, jegliche Daten entwenden sowie zusätzliche bösartige Software nachladen kann.

„Ammazon Internet Security“ verspricht Sicherheit und infiziert den Rechner
(Bild: Kaspersky Lab).

Social-Engineering-Methoden kommen zum Einsatz, um die Opfer zum Download von Malware zu verleiten. Sie kann beispielsweise in einem E-Mail-Anhang enthalten sein, der angeblich detaillierte Informationen über geplante Angriffe des Assad-Regimes mit chemischen Waffen enthält. Mit einer Infektion muss auch rechnen, wer auf eine als „Nationales Sicherheitsprogramm“ bezeichnete Anwendung zuzugreifen versucht, das die Namen aller vom syrischen Staat gesuchten Personen enthalten soll.

In Umlauf sind manipulierte Whatsapp- und Viber-Apps ebenso wie unechte Antivirensoftware. So täuscht eine frei erfundene „Ammazon Internet Security“ (tatsächlich so geschrieben) ein funktionierendes Schutzprogramm ähnlich Windows Defender vor, belässt den Computer des Opfers aber schutzlos und installiert stattdessen ein Überwachungsprogramm. Mit Malware angereichert wurden auch neu verpackte Tools wie Smart Firewall, SSH VPN und Total Network Monitor. Letztgenannte Software wird oft von Aktivisten benutzt, um ihre Kommunikation zu sichern und der Überwachung zu entgehen – eine infizierte Version hat daher gute Chancen, genau diese Zielgruppe zu erreichen.

Obwohl hauptsächlich Aktivisten und gewöhnliche Bürger Syriens betroffen sind, wurden auch Infektionen aus anderen Ländern im Nahen Osten sowie Frankreich, USA, Marokko und der Türkei gemeldet. Die Kommando- und Kontrollzentren konnten die Sicherheitsforscher auf IP-Adressen in Syrien, Russland, Libanon, USA und Brasilien zurückverfolgen.

Kaspersky nimmt an, dass die Angriffe weitergehen und sich in Qualität wie Quantität steigern. „Wir erwarten, dass die Angreifer beginnen werden, ihre Malware mit fortgeschritteneren Methoden zu verbreiten, und dabei bösartige Dokumente oder Drive-by-Download-Exploits einsetzen“, heißt es in dem ausführlichen Report über syrische Malware (PDF). „Mit ausreichender Finanzierung und Motivation könnten sie auch Zugang zu Zero-Day-Lücken bekommen und noch effektivere Angriffe durchführen.“

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de