Malware-Welle zielt auf syrische Oppositionelle
Über E-Mails vermeintlich vertrauenswürdiger Freunde versuchen Hacker, syrische Oppositionelle zur Installation eines Sicherheitsprogramms zu bewegen. Tatsächlich verbirgt sich dahinter eine Backdoor.
- Gerald Himmelein
In Syrien wird nicht nur auf der Straße, sondern auch digital gekämpft. Gezielt versandte Phishing-E-Mails fordern Dissidenten zum Download eines angeblichen Sicherheitsprogramms namens "Anti Hacker" auf. Das Tool behauptet, den Anwender vor boshaften Angreifern zu schützen, ist dabei aber selbst ein Trojaner. Dieser lädt heimlich den Rootkit DarkComet RAT (Remote Access Tool) nach, der sich mit einem Keylogger zur Protokollierung von Tastatureingaben ins System einklinkt.
Wie die Electronic Frontier Foundation (EFF) berichtet, haben die Entwickler von Anti Hacker sogar eine Web-Präsenz sowie eine Facebook-Seite eingerichtet. Beide sind mittlerweile offline. Die Facebook-Seite warb dreisterweise mit einem Slogan und Porträtfoto von Eugene Kaspersky.
Der EFF zufolge lässt sich Anti Hacker zu denselben Urhebern zurückverfolgen, die seit mindestens November 2011 über gekaperte Accounts syrischer Oppositioneller versuchen, über gefälschte Dokumente und ein angebliches Skype-Verschlüsselungswerkzeug weitere Opfer zu finden.
Mit DarkComet RAT befallene Rechner lassen sich über ein Desinfektionswerkzeug säubern, das direkt vom ursprünglichen Autor des Rootkits stammt, Jean-Pierre Lesueur. Der Entwickler hatte die Entwicklung und den Verkauf von DarkComet RAT eingestellt, als er erfuhr, dass die syrische Regierung sein Werkzeug gegen Oppositionelle einsetzt. (ghi)