EFF Logo Teaser

EFF gezielt von Malware attackiert

Normalerweise schaffen es Viren-, Trojaner- und andere Malware-Attacken nur in die Medien, wenn es um groß angelegte Angriffe geht. Deutlich gemeiner (und meist gefährlicher) sind dagegen gezielte Attacken. Das Problem: Weil diese nur sehr wenige Ziele hat sind entsprechend wenige Versionen der Malware im Umlauf. Diese werden entsprechend seltener gefunden, seltener analysiert und seltener im Web beschrieben.

Diesmal hat es allerdings die Electronic Frontier Foundation (EFF) erwischt. Und die haben nicht nur die Malware gefunden, sondern auch gleich analysiert. Die Story liest sich recht spannend:

Im Dezember 2013 erhielten zwei EFF-Mitglieder Einladungen zu einer Asia Conference, angeblich geschrieben von einem Angestellten der Hilfsorganisation Oxfam. Neben zwei Anhängen waren zwei Links in der E-Mail. Die Links führten aber nicht zur angegebenen Oxfam-Domain, sondern zu zwei Dokumenten auf Google Drive.

Diese E-Mail haben die EFF-Aktivisten erhalten. Beachtet die Links - und wo sie tatsächlich hinführen.
Diese E-Mail haben die EFF-Aktivisten erhalten. Beachtet die Links – und wo sie tatsächlich hinführen.

Die Anhänge waren ebenfalls nicht wirklich verdächtig, ein Check bei Virustotal.com zeigte, dass ein AV-Hersteller die Dateien als bösartig einstufte. Interessant ist aber die Dateiendung: .hta. Dabei handelt es sich um eine HTML-Applikation. Klickt der Nutzer drauf, führt diese HTML-App ein Word-Dokument aus und wirft gleich noch eine ausführbare Datei in den temporären Windows-Ordner. Wird das Word-Dokument geöffnet, führt das System die Exe aus – und dann geht es richtig los: 13 verschiedene Dateien werden auf dem System eingespielt, Änderungen in der Registry werden vorgenommen und gleich noch persistent im System hinterlegt. Zudem versucht der infizierte Rechner sich über Port 443 mit einem Botnetbetreiber zu verbinden, der scheinbar irgendwo in Vietnam angesiedelt ist. Anschließend könnte der Betreiber dann den Rechner fernsteuern, als Ausgangspunkt für Attacken nutzen etc.pp.

Die Malware wurde, unter anderen Voraussetzungen, wurde bereits an vietnamesische Blogger und Journalisten der AP geschickt.

Also: Malware aus Vietnam, die gezielt auf Journalisten, Blogger und Aktivisten der EFF losgeht. Die EFF mutmaßt, dass da ein Staat dahintersteckt, möglicherweise um Dissidenten und deren Unterstützer kleinzukriegen.

So, und wie schütz ich mich jetzt?

Selbst wenn ihr nicht in die oben genannten Kategorien fallt, gezielte Malware ist ein Problem, dass tatsächlich jeden treffen kann (etwa, weil ihr einen populären Twitter-Account oder ähnliches habt. Oder weil jemand euren Arbeitgeber attackieren möchte). Was also nie schadet: Misstrauen. Dazu natürlich ein Anti-Virus (der hilft nicht zu 100 Prozent gegen targeted Malware, aber gegen die meisten anderen Schädlinge).

Dann, lohnt es sich immer HTML abzuschalten und E-Mails im Textformat zu erhalten. Dann seht ihr gleich, welcher Schmu dann getrieben wird. Seid ihr trotzdem misstrauisch, bewegt euren Mauszeiger erstmal über Links OHNE zu klicken. Jeder Browser zeigt normalerweise unten links die Adresse an, die hinter dem Link steht. Oder ihr klickt mit der rechten Maustaste auf den Link, wählt Link kopieren und kopiert ihn in ein Textdokument.

Anhänge in E-Mails, besonders mit unbekannten Dateiendungen, ladet die Datei bei Virustotal.com hoch und lasst sie dort überprüfen (falls nicht euer lokaler Antivirus bereits Alarm schlägt.

Über Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

banner