Abo
  • Services:
Anzeige
Finfisher soll einen 0-Day-Exploit genutzt haben.
Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de)

Staatstrojaner: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Finfisher soll einen 0-Day-Exploit genutzt haben.
Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de)

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Eine von Microsoft im Rahmen des letzten Patchdays geschlossene Sicherheitslücke im Office-Paket von Microsoft wurde offenbar genutzt, um den Staatstrojaner von Finfisher zu verteilen. Die Lücke mit der Bezeichnung CVE-2017-0199 wurde unter anderem von Proofpoint veröffentlicht, Fireeye hat Details zur Verwendung im Rahmen der Spionagekampagne veröffentlicht. Die ausspionierten Personen sollen nach Angaben von Motherboard aus Russland stammen.

Anzeige

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

Word-Dokument installiert Finfisher-Trojaner

Öffnet ein Opfer ein entsprechend präpariertes Word-Dokument, wird im Hintergrund ein Script ausgeführt, das dann Schadcode nachlädt und installiert. In diesem Fall soll es sich um die Malware des Unternehmens Finfisher gehandelt haben. Die Kampagne wurde gemeinsam von Fireeye und dem bei Amnesty International arbeitenden Hacker Claudio Guarnieri gefunden. Guarnieri hatten auf dem 33C3 die Organisation Security Without Borders ins Leben gerufen.

Hinweise auf den Urheber der Kampagne gibt es nur wenige. Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber natürlich nur wenig Aussagekraft hat. Finfisher hat Kunden in der ganzen Welt, auch mehrere US-Behörden haben früheren Recherchen zufolge Kopien der Software gekauft. Auch bei gezielten Kampagnen werden relativ selten 0-Day-Exploits eingesetzt. Die meisten Angriffe setzen auf bekannte Sicherheitslücken in Verbindung mit Social Engineering.

Der Exploit war vor seiner Veröffentlichung nicht nur Finfisher bekannt. Kriminelle nutzten die Sicherheitslücke, um Rechner mit dem Dridex-Botnet zu infizieren. Nach Angaben von Fireeye wurde außerdem die Latentbot-Malware verteilt, die zum Kopieren von Zugangsdaten eingesetzt werden kann. Golem.de hat Finfisher um einen Kommentar gebeten.


eye home zur Startseite
__destruct() 14. Apr 2017

"Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber...

Themenstart

generalsolo 14. Apr 2017

Microsoft Office warnt standardmäßig beim Öffnen von Word-, Excel-, PowerPoint...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. LogPay Financial Services GmbH, Eschborn
  3. CG CAR-GARANTIE VERSICHERUNGS-AG, Freiburg im Breisgau
  4. Stadtwerke München GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  3. (u. a. John Wick, Bastille Day, Sicario, Leon der Profi)

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Nach Abschaltung kostenfrei?

    ve2000 | 03:31

  2. Re: Freizeit

    Vaako | 03:18

  3. Re: Und wird es Windows7-Treiber geben?

    JouMxyzptlk | 03:13

  4. Re: Hardwareschalter sind prinzipiell was gutes

    Thiesi | 03:06

  5. halb so wild!

    cicero | 03:01


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel