Malware zielt auf syrische Oppositionelle
Es ist das, was man eine Spearhead-Attacke nennen würde, eine Malware, die ganz gezielt eine bestimmte Personen-Gruppe umfasst. Die Opfer von AntiHacker sind Oppositionelle aus Syrien.
Die Malware nennt sich AntiHacker und soll vorgeblich den Rechner vor unerlaubten Zugriffen schützen. Tatsächlich handelt es sich bei AntiHacker aber um eine Spyware, die vor allem Aktivisten und Oppositionelle aus Syrien zum Ziel hat.
Der Bürgerkrieg in Syrien spielt sich nicht nur in Aleppo und Damaskus ab, sondern er tobt auch im Internet. Jetzt soll das Assad-Regime auch Cyberwaffen gegen die Aufständischen einsetzen, wie die Electronic Frontier Foundation meldet.
Betroffen seien demnach syrische Aktivisten, Journalisten sowie oppositionelle politische Gruppierungen. Die Malware AntiHacker installiert die Überwachungssoftware DarkComet RAT, die unter anderem auch die Kontrolle über angeschlossene Web-Cams übernimmt. Die Malware schaltet Antivirenprogramme aus, entwendet Passwörter und löscht Daten. Wenn man das Programm installiert meldet ein Popp-up: “You PC is Protect now thank for using our Product [sic].”
Für die Verbreitung von AntiHacker nutzt das Assad-Regime offenbar verschiedene Wege. Einer davon funktioniert über Facebook-Gruppen, in denen die Opfer dazu bewegt werden sollen, die Software zu installieren.
“Syrische Internet-Nutzersollten besonders vorsichtig sein, wenn sie Programme von unbekannten seiten laden”, erklärt die EFF-MItarbeiterin Eva Galperin. “Die AntiHacker-Webseite zeigte verschiedene Hinweise, die auf ein illegitimes Angebot hindeuten, darunter furchtbarer Missbrauch der englischen Grammatik und Rechtschreibung.”
Allerdings warnt das EFF auch davor, dass die Version des DarkComet für viele Antiviren-Lösungen noch nicht sichtbar ist. Dennoch gibt es ein spezielles Tool, mit dem man prüfen kann, ob der Rechner mit dem DarkComet RAT-Ableger infiziert ist.
Bereits im Mai machte eine Malware die Runde, die auf Oppositionelle in Syrien und Iran zielte. Damals hatte die Malware Nutzernamen, IP-Adressen, Tastatureingaben und Hostnamen abgegriffen.