„Inexsmar: An unusual Darkhotel campaign“
Bitdefender hat seine Untersuchungen unter dem Titel „Inexsmar: An unusual Darkhotel campaign“ veröffentlicht, wie lanline.de dazu berichtete. Darin wird erkennbar, dass die Angreifer mit veränderten Angriffsmethoden und statt auf monetäre Ziele nun auch auf politische Informationen aus sind.
Wie dazu verlautet hat Bitdefender herausgefunden, dass ein Malware-Sample aus dem September 2016 – bekannt als Inexsmar – starke Ähnlichkeiten mit Malware hat, die die Gruppe schon seit dem Jahr 2011 nutzt. Inexsmar stammt mit hoher Wahrscheinlichkeit von Darkhotel.
Social Engineering via E-Mail + Trojaner
Es ist ein neues Konzept, das Darkhotel für die Inexmar-Kampagne nutzte. Dazu gehören Social Engineering mittels E-Mail und ein sehr komplexer Trojaner. In einem mehrstufigen Verfahren lädt der Trojaner zur Tarnung harmlose Dokumente herunter, sendet Systeminfos an einen Command-and-Control-Server und löscht verdächtige Malware-Bestandteile selbst wieder vom Endgerät des Opfers.
Neu ist auch die Zielrichtung der Attacken, so standen bisher hochrangige Firmenmitarbeiter wie CEOs, Top-Manager oder Entwicklungsleiter auf dem Programm, um Informationen über Prototypen, geistiges Eigentum oder Software-Quellcode zu stehlen. Die aktuelle Attacke scheint dagegen politisch motiviert zu sein.
Dazu schreibt Alexandru Rusu, Malware Researcher und Autor des White Papers:
„Wir vermuten, dass diese Methode, Social Engineering mit einem mehrstufigen Trojaner-Downloader zu kombinieren, auch ein Schritt ist, um die Malware wettbewerbsfähig zu halten. Denn die Schutzmechanismen der Opfer verbessern sich immer weiter“
Weiterführende Links:
Whitepaper: Inexsmar: An unusual Darkhotel campaign
lanline.de: Bitdefender: Digitale Hoteldiebe aktiv