Neue Variante des Staatstrojaners FinFisher

StrongPity2 nennt der Sicherheitsanbieter Eset die Nachfolge-Malware des auch von der deutschen Bundesregierung genutzten “Staatstrojaners” FinFisher. Die neue Variante könnte auch nötig geworden sein, weil Microsoft in diesem Jahr auch Lecks schloss, die die Funktion des Überwachungstools ermöglichten.

Nun haben die Sicherheitsforscher von Eset in einem Blog neue Details. So sollen laut Ansicht der Experten auch Internet Service Provider beteiligt gewesen sein. Noch im September hatte Eset von einer FinFisher-Kampagne in zwei Ländern berichtet. Dabei wurde der Schädling über eine Man-in-the-Middle-Attacke verbreitet. Am dem Tag, an dem der Sicherheitsanbieter über diese Kampagne berichtet hatte, wurde die Aktion offenbar abgebrochen.

Wenige Tage Später beobachtete Eset in einem der betroffenen Ländern eine neue, ähnlich aufgebaute Attacke, die die Filter des IT-Sicherheitsanbieters als StrongPity2 detektierten. Dabei sei auch eine ungewöhnlich aufgebaute http-Weiterleitung zum Einsatz gekommen. Nutzer, die eine Software laden wollten, wurden so auf eine Fake-Webseite geleitet, auf der eine mit einer Variante von StrongPity infizierte Version zum Download angeboten wurde. Davon seien unter anderem die Programme CCleaner v 5.34, Driver Booster, der Opera Browser, Skype, der VLC Media Player v2.2.6 (32bit) und WinRAR 5.50 betroffen.

Seit der Neuauflage des FinFisher-Attacke mit der StrongPity2-Variante habe Eset mehr als 100 infizierte Systeme erkannt. Neben eine Spionage-Funktion könne StrongPity2 “praktisch jede beliebige andere (bösartige) Software des Angreifers mit den Privilegien des kompromittierten Accounts herunterladen und ausführen”, warnen die Experten. Wer hinter der aktuellen Kampagne steht und welche Länder besonders davon betroffen sind, teilt Eset dagegen nicht mit.

FinFisher wird in Deutschland von dem Münchner Unternehmen Elaman vertrieben. Entwickelt wurde die Software von der britischen Gamma Group. Im Jahr 2013 hatte sich die Bundesregierung zum Kauf der umstrittenen Software entschieden und hatte für 10 Lizenzen und ein Jahr Nutzungsdauer knapp 150.000 Euro für die auch als FinSpy bezeichnete Software bezahlt. Das BKA plant nun mit dem Einsatz der Software. Inzwischen wurde auch die Gesetzeslage entsprechend geändert, so dass auch bei geringfügigen Vergehen wie Steuerhinterziehung oder Hehlerei der Trojaner zum Einsatz kommen kann.

Laut Eset lasse sich mit dem kostenlosen ESET Online Scanner eine Infektion feststellen und entfernen. Außerdem lässt sich eine Infektion auch Manuell feststellen. Dafür muss nach dem Ordner ‘%temp%\lang_be29c9f3-83we’ werden, in dem unter anderem die Hauptkomponente wmpsvn32.exe gespeichert ist. Ein weiterer Hinweis ist der Registry-Eintrag, der unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run mit dem Namen Help Manager zu finden ist. Darin ist im Datumsfeld %temp%\lang_be29c9f3-83we\wmpsvn32.exe enthalten. Für eine Manuelle Bereinigung muss der Hauptprozess wmpsvn32.exe beendet und der Ordner %temp%\lang_be29c9f3-83we sowie der Wert ‘Help Manager’ gelöscht werden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.