Amaq: Gehackte Islamistenwebseite verteilte Trojaner als Flash-Update
Die Webseite einer Nachrichtenorganisation, die IS-Propaganda verteilt und den Islamisten nahe stehen soll, wurde gehackt. Besucher sollte ein Trojaner untergeschoben werden, die die Kontrolle ĂĽber den Zielrechner ĂĽbernehmen kann.
(Bild: Raphael Gluck)
Die Webseite der Amaq News Agency, einer Nachrichtenorganisationen die der islamistischen Terrororganisation IS nahestehen soll, wurde anscheinend Opfer eines Hackerangriffs. Unbekannte manipulierten die Webseite und brachten sie dazu, Besuchern Banner und Pop-ups mit gefälschten Flash-Player-Updates anzuzeigen. Gingen Besucher auf diese ein, wurde eine .exe-Datei heruntergeladen, die sich als Flash-Update tarnt, in Wirklichkeit aber einen Remote Access Trojan (RAT) nachläd. Amaq soll seine Leser über Telegram vor diesem Angriff gewarnt haben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Remote-Access-Trojaner dienen dazu, infizierte Rechner zu übernehmen. Diese können dann entweder als Plattform für weitere Angriffe missbraucht werden, oder der Angreifer kann sämtliche Daten des Opfers auslesen und das Zielobjekt überwachen. Bei dem über Amaq verteilten RAT soll es sich laut Recherchen des Nachrichtenmagazins Vice um NJRat gehandelt haben. NJRat ist bereits seit Jahren einschlägig bekannt und wird, wie ähnliche Schadsoftware auch, immer weiter entwickelt und in Untergrundforen frei verteilt. Zuerst läd eine Dropper-Komponente den eigentlichen Schädling nach, der verankert sich dann im System, baut eine Verbindung zu einem Kontrollserver auf und wartet schließlich auf Befehle der Drahtzieher hinter dem Angriff.
Da NJRat auf Grund seiner Verbreitung von sehr vielen Cyberkriminellen und Hackern eingesetzt wird, lässt sich nicht ohne weiteres sagen, wer hinter dem Angriff auf Amaq steckt. Es könnte sich bei dem Angriff genauso gut um eine gewöhnliche durch Cyberkriminelle ausgeführte Infektion handeln, wie um einen geziehlten Angriff auf IS-Anhänger. Amaq ist mittlerweile auf eine andere Domain umgezogen und weist keine Spuren eines Angriffs mehr auf. (fab)
