Der Antivirus-Hersteller Trend Micro warnt vor neuen Varianten des Remote-Access-Trojaners FAKEM, die gezielt per E-Mail verteilt werden. Die Malware tarnt ihren Traffic unter anderem als Datenverkehr der Windows- und Yahoo!-Messenger.
Gezielte Angriffe auf Netzwerke sind vor allem dann erfolgreich, wenn sie den Empfang von Befehlen und den Versand von gestohlenen Informationen möglichst lange im allgemeinen Datenstrom verbergen. Die Angreifer suchen ständig nach Möglichkeiten, ihren bösartigen Verkehr mit legitimem zu vermengen, um sich zu tarnen.
Beliebtes Mittel bei gezielten Angriffen sind so genannte Remote-Access-Trojaner (RAT). Derartige Malware kann beispielsweise Verzeichnisse durchsuchen, Dateien übertragen, Screenshots erstellen sowie das Mikrofon oder die Webkamera einschalten. Remote-Access-Trojaner lassen sich in der Regel erst dann aufspüren, wenn sie Kontakt mit den Hintermännern aufnehmen.
Die versendeten und empfangenen Datenpakete sind allerdings so gut getarnt und unscheinbar, dass sie angesichts der Datenmengen im Netzwerkverkehr untergehen. Der getarnte Verkehr dient dazu, die Malware in den kompromittierten Umgebungen länger überleben zu lassen. Die Sicherheitsforscher von Trend Micro haben nun eine RAT-Familie namens FAKEM aufgespürt, die ihren Netzwerkverkehr nach verschiedenen Protokollen aussehen lässt.
Einige Varianten gaukeln den Sicherheitsmechanismen vor, es handele sich um normalen Internet-Traffic oder um Datenpakete der Messenger von Microsoft und Yahoo. Eine andere tarnt sich als normalen Webverkehr. FAKEM wird nach Einschätzung von Trend Micro seit September 2009 von Cyber-Kriminellen eingesetzt.
Alle neu entdeckten Varianten haben die Zielsysteme per Spear-Phishing-Mail infiziert, die Autoren setzen dabei auf Social-Engineering-Taktiken. Dementsprechend erhalten nur ganz bestimmte Personen in einem Unternehmen verseuchte Nachrichten. Deren Interessen wurden zuvor gezielt ausspioniert, beispielsweise über deren Einträge auf sozialen Netzwerken.
+49 (0)6324