Flame-Familie (Bild: Kaspersky)
Kaspersky Lab hat eine weitere Variante der Malware Flame gemeldet. Sie wird in einem Blogeintrag als „miniFlame“ oder auch SPE bezeichnet. Die Software ist demnach seit Juli bekannt, galt bisher aber als Modul von Flame selbst.
Jetzt schreiben die Experten: „Während einer intensiven Analyse der Struktur der Command & Control Server von Flame im September 2012 stellte sich heraus, dass miniFlame auch als unabhängiges Programm eingesetzt werden kann sowie als Plug-in für Flame und Gauss funktioniert.“ Es arbeitet als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systeme spezialisiert ist.
„miniFlame ist eine hochpräzise Angriffswaffe. Höchstwahrscheinlich dient sie als zweite Welle einer Cyber-Attacke“, sagt Alexander Gostev, Chief Security Expert von Kaspersky Lab. „Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen. Die Entdeckung von miniFlame ist für uns auch eine weitere Bestätigung der Vermutung, dass die Entwickler der bekanntesten Cyberwaffen zusammenarbeiten: Stuxnet, Duqu, Flame und Gauss.“
Nach Einschätzung von Kaspersky hat die Entwicklung von miniFlame Anfang 2007 begonnen und dauerte bis Ende 2011. Bisher wurden sechs Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden. Es dürfte zahlreiche weitere geben.
miniFlames Infektionsrate ist aber wesentlich niedriger als die von Flame oder Gauss. Nach den Daten von Kaspersky Lab dürften nur etwa 10 bis 20 Maschinen infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner soll bei 50 bis 60 Stück liegen. Möglicherweise wird miniFlame für sehr gezielte Cyber-Spionage eingesetzt – und zwar auf Rechnern, die schon mit Gauss oder Flame infiziert waren.
Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots, insbesondere während Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client laufen. Die Daten lädt miniFlame auf C&C-Server, die auch von Flame genutzt werden. Durch die Anfrage des miniFlame-C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
