News

Damballa: Furtim und SFG sind ein und derselbe Schädling

Eine neue Untersuchung stellt all das in Frage, was bisher über Furtim bekannt war – den neuen Schädling, der – wie man annahm – Steuerungssysteme von Energieversorgungsobjekten angreift. Laut Damballa handelt es sich bei dem Downloader von Furtim und dem kürzlich entdeckten SFG-Dropper um verschiedene Builds ein und desselben Programms, das keinen speziellen Code für Angriffe auf automatisierte Steuerungssysteme enthält.

Die in dem Unternehmen durchgeführte Analyse hat bestätigt, dass Furtim und SFG nicht nur ähnlich sind, sondern vielmehr sehr enge Verwandte. „Lediglich die HTTP-Header sind unterschiedlich“, präzisierte Don Jackson, Senior Threat Researcher bei Damballa, für Threatpost. „Die Header haben nur verschiedene Werte und werden von dem Schädling willkürlich ausgewählt, daher sehen die unterschiedlichen Builds desselben Schadprogramms im Netz nicht gleich aus.“

Eine genauere Untersuchung von Furtim/SFG hat ergeben, dass die Malware nicht auf Angriffe auf Energieversorgungsobjekte spezialisiert ist, wie vorher angenommen, sondern dass sie versucht, jedes beliebige Netz zu infizieren, um Kontodaten der Nutzer zu stehlen. „Dieser Schädling wird auf unterschiedliche Weise verbreitet, unter anderem auch via Drive-by-Download, schädliche Werbung und Spam“, erzählt Jackson. „Er ist ein ausgesprochener Allesfresser und zeigt keine Präferenzen gegenüber bestimmten Branchen. Er infiziert einfach die Windows-Rechner, in die es ihm gelungen ist einzudringen.“

Offensichtlich war die erste Nachricht von SentinelOne über SFG irreführend: Die Forscher nahmen zu diesem Zeitpunkt an, dass sich das analysierte Sample gegen einen europäischen Energieversorger richtete. Einige Tage später aktualisierte SentinelOne seinen Blogeintrag: „Unsere Veröffentlichung, in der es hieß, bei dem Ziel dieses Schädlings handele es sich um SCADA-Systeme im Bereich Energieversorgung, hat eine Vielzahl unwahrer Deutungen nach sich gezogen. Daher möchten wir hiermit unterstreichen, dass wir keinerlei Beweise dafür haben, dass es sich tatsächlich so verhält. Gegenstand unserer Analyse waren die schädlichen Charakteristika des Programms, nicht die Autorenschaft oder das Zielspektrum.“

Die Hauptaufgaben von Furtim/SFG sind das Verbergen vor Erkennung, die Ausführung von Exploits für die Windows-Sicherheitslücken CVE-2014-4113 und CVE-2015-1701 sowie die Umgehung der Benutzerkontensteuerung (UAC) von Windows, die die Nutzerrechte einschränkt. „Die Menge und die Arten der Taktiken zeugen von einem hohen technischen Niveau dieses Schädlings“, räumt Jackson ein. „Er setzt alle mir bekannten Methoden ein, um der Erkennung und Analyse zu entgehen. Die Malware ist nicht auf dem Level eines staatlich gesponserten Schadprogramms, aber trotzdem ist sie sehr gut durchdacht.“

Zur Erinnerung: Furtim wurde von den Forschern bei enSilo entdeckt, die im vergangenen Mai einen entsprechenden Bericht über diesen Schädling veröffentlichten. Nach Angaben von Damballa verwendet der neu erschienene Furtim/SFG die bekannte fast-flux-Infrastruktur Dark Cloud – ein Botnetz, auf das der Zugriff als Service bereitgestellt wird. Die zahlreichen Knoten von Dark Cloud funktionieren als Proxy, und aufgrund der sich ständig ändernden Adressen ist es äußerst schwierig, sie aufzuspüren und zu blockieren.

Quelle: Threatpost

Damballa: Furtim und SFG sind ein und derselbe Schädling

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach