Trend Micro warnt vor Remote-Access-Trojaner FAKEM

Trojaner tarnt Traffic als Messenger-Protokoll

| Redakteur: Stephan Augsten

Der Trojaner FAKEM tarnt seinen Datenverkehr (links) als legitimen Messenger-Traffic (rechts).
Der Trojaner FAKEM tarnt seinen Datenverkehr (links) als legitimen Messenger-Traffic (rechts). (Bild: Trend Micro)

Der Antivirus-Hersteller Trend Micro warnt vor neuen Varianten des Remote-Access-Trojaners FAKEM, die gezielt per E-Mail verteilt werden. Die Malware tarnt ihren Traffic unter anderem als Datenverkehr der Windows- und Yahoo!-Messenger.

Gezielte Angriffe auf Netzwerke sind vor allem dann erfolgreich, wenn sie den Empfang von Befehlen und den Versand von gestohlenen Informationen möglichst lange im allgemeinen Datenstrom verbergen. Die Angreifer suchen ständig nach Möglichkeiten, ihren bösartigen Verkehr mit legitimem zu vermengen, um sich zu tarnen.

Beliebtes Mittel bei gezielten Angriffen sind so genannte Remote-Access-Trojaner (RAT). Derartige Malware kann beispielsweise Verzeichnisse durchsuchen, Dateien übertragen, Screenshots erstellen sowie das Mikrofon oder die Webkamera einschalten. Remote-Access-Trojaner lassen sich in der Regel erst dann aufspüren, wenn sie Kontakt mit den Hintermännern aufnehmen.

Die versendeten und empfangenen Datenpakete sind allerdings so gut getarnt und unscheinbar, dass sie angesichts der Datenmengen im Netzwerkverkehr untergehen. Der getarnte Verkehr dient dazu, die Malware in den kompromittierten Umgebungen länger überleben zu lassen. Die Sicherheitsforscher von Trend Micro haben nun eine RAT-Familie namens FAKEM aufgespürt, die ihren Netzwerkverkehr nach verschiedenen Protokollen aussehen lässt.

Einige Varianten gaukeln den Sicherheitsmechanismen vor, es handele sich um normalen Internet-Traffic oder um Datenpakete der Messenger von Microsoft und Yahoo. Eine andere tarnt sich als normalen Webverkehr. FAKEM wird nach Einschätzung von Trend Micro seit September 2009 von Cyber-Kriminellen eingesetzt.

Alle neu entdeckten Varianten haben die Zielsysteme per Spear-Phishing-Mail infiziert, die Autoren setzen dabei auf Social-Engineering-Taktiken. Dementsprechend erhalten nur ganz bestimmte Personen in einem Unternehmen verseuchte Nachrichten. Deren Interessen wurden zuvor gezielt ausspioniert, beispielsweise über deren Einträge auf sozialen Netzwerken.

Weitere Informationen zum Remote-Access-Trojaner FAKEM liefert ein englischsprachiges Whitepaper (PDF, 1,9 MB). Trend Micro rät dazu, flexible Antivirus-Lösugnen wie das eigene Deep Discovery zu nutzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37692620 / Malware)