FireEye hat weitere Details zu der am Dienstag von Microsoft geschlossenen Zero-Day-Lücke in Word veröffentlicht. Demnach wurde die Schwachstelle nicht nur für die Verbreitung der Dridex-Malware benutzt, sondern auch, um russisch sprechende Opfer mit der Finspy-Malware anzugreifen. Finspy, auch als FinFisher bekannt, ist eine von der deutsch-britischen Gamma Group entwickelte kommerzielle Spionagesoftware. Zu deren Kunden soll auch die Bundesregierung gehören.
Darüber hinaus wurde die Anfälligkeit aber auch schon vor ihrer Offenlegung von Cyberkriminellen eingesetzt. Sie verteilten darüber ab Anfang März die Malware Latentbot. Ihre Aufgabe ist das Sammeln von Anmeldedaten. FireEye unterstellt den Hackern eine rein finanzielle Motivation. „Latentbot ist eine modulare und sehr gut getarnte Malware, die erstmals im Dezember 2015 von FireEye entdeckt wurde“, teilte das Unternehmen mit.
Latentbot stehle nicht nur vertrauliche Daten, die Malware sei auch in der Lage, Daten oder ganze Festplatten zu löschen und Sicherheitssoftware abzuschalten. Außerdem verfüge sie über eine Fernwartungsfunktion. Nutzer locke die Schadsoftware unter anderem mit Dateinamen mit „Bewerbungsformular.doc“ und „!!!!Dringend!!!!Lesen!!!!.doc“.
FireEye will außerdem herausgefunden haben, dass die staatlichen Hacker und auch die Cyberkriminellen den Zero-Day-Exploit für Microsoft Word aus derselben Quelle erhalten haben. Als Beleg dafür sieht das Unternehmen die bis auf die Sekunde identischen Zeitstempel der von beiden Parteien benutzten präparierten Word-Dokumente an.
„Obwohl nur ein Finspy-Nutzer beobachtet wurde, der diesen Zero-Day-Exploit benutzt hat, legt die bisherige Reichweite von Finspy, das von mehreren Nationalstaaten eingesetzt wurde, die Vermutung nahe, dass mehrere Kunden Zugang dazu hatten“, lautet das Fazit von FireEye. Der Vorfall verdeutliche die globale Natur von Cyberbedrohungen und die Notwendigkeit einer weltweiten Betrachtungsweise. „Ein gegen Russen gerichteter Cyberspionage-Vorfall kann eine Gelegenheit sein, von Cyberverbrechen gegen englischsprechende Nutzer zu erfahren und sie zu unterbinden.“
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…