Wie ESET berichtet, gibt es vermutlich einen neuen Verteilungsweg für die Spionagesoftware FinFisher. Diese Malware wird hauptsächlich von Regierungen und deren Geheimdiensten eingesetzt. Es gäbe Hinweise darauf, dass die Internetprovider in sieben Ländern höchstselbst dafür verantwortlich sind, dass infizierte Software auf den Rechnern ihrer Kunden landen. Dieses Angriffszenario nennt sich Man-in-the-Middle-Attacke.
Über einen temporären Redirect (307) wird der Download von seriösen und gängigen Programmen wie WhatsApp, Skype, Avast, WinRAR und dem VLC-Player auf eine normal funktionierende Version umgeleitet, die aber im Hintergrund FinFisher installiert. Sogar die Verschlüsselungssofteware TrueCrypt ist betroffen. Das Sicherheitsunternehmen weisst aber explizit darauf hin, dass jedwede Software infiziert sein kann.
Um niemanden in Gefahr zu bringen, verzichtet ESET auf die Nennung der sieben betroffenen Länder. Die Bundesregierung hat aber ebenfalls FinFisher von der FinFisher GmbH gekauft und bereits in Deutschland eingesetzt. FinFisher läuft auf macOS, Linux und Windows und den gängigen Smartphone-Betriebssystemen.
Perfide ist, dass sich die neu entdeckte Version mit allerlei Tricks gegen die Disassemblierung (das lesbar machen des Codes) und das Ausführen der infizierten Software in Sandboxen, Emulatoren und virtualisierten Maschinen (VMs) wehrt. Genaue Funktionsweise und Ziele der Software bleiben so im Dunkeln.
ESET weisst darauf hin, dass die Nutzer des hauseigenen Virenscanners automatisch geschützt seien. Die kostenlosen Versionen gibt es für Windows, macOS, Linux und Android.
Hoffen wir mal, dass die alle ohne FinFisher im Gepäck daher kommen.