Malware-Familie mit 40 Varianten
Laut all-about-security.de entdeckte Palo Alto Networks im Mai vorigen Jahres zwei E-Mails, die schädliche Dokumente enthielten. Die Mails stammten von einem kompromittierten Google-Mail-Konto in Israel und wurden an eine israelische Industrieorganisation gesendet. Eine E-Mail enthielt eine Microsoft-Powerpoint-Datei mit dem Namen „thanks.pps“, die andere ein Microsoft-Word-Dokument mit dem Namen „request.docx“. Gleichzeitig entdeckte WildFire eine E-Mail an die US-Regierung mit einem Word-Dokument namens „hello.docx“ mit einem identischen Hash wie die früheren Word-Dokumente.
Auf der Grundlage dieser Dateien und der Funktionalität der installierten Malware hat Palo Alto Networks über 40 Varianten der Malware-Familie Infy identifiziert und gesammelt.
Mail-Empfänger werden mit Social Engineering geködert
Die Angriffe der Infy-Malware erfolgen über eine Speer-Phishing-E-Mail, die ein Word- oder Powerpoint-Dokument enthält. In die Dokumentendatei ist wiederum eine SFX-Datei eingebettet. Mittels des Mail-Inhaltes werden Empfänger genötigt die ausführbare Datei zu aktivieren. Das geschieht beispielsweise über eine Powerpoint-Seite, die scheinbar ein Video enthält. Der Empfänger wird so ausgetrickst, dass er auf „Run“ klickt, wodurch die eingebettete SFX-Datei ausgeführt wird.
Allerdings wird die nun installierte ausführbare Datei nicht aktiviert bis ein Neustart erfolgt. Erst nach dem Neustart und der Prüfung der Umgebung auf Antivirus-Software beginnt das Datensammeln, darunter Browser-Passwörter und Inhalte wie Cookies.
Palo Alto Networks entdeckte typisches Verhaltensmuster einer Spionagesoftware
Die Aktivitäten der Malware wurden etwa zehn Jahre lang beobachtet. Eine lange Analysezeit, bei der die Sicherheitsforscher auf ein typisches Verhaltensmuster schließen konnten. Das geringe Aktivitätsvolumen, der bewusst gewählte Fokus der Kampagne und maßgeschneiderte Inhalte lieferten Hinweise auf die Art der Ziele der Akteure.
Palo Alto Networks ist der Ansicht, Aktivitäten aufgedeckt zu haben, die bereits seit rund zehn Jahren ausgeführt werden und überwiegend unter dem Radar stattfanden. Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist.
