Nach Babar und EvilBunny wurde mit Casper ein weiteres Mitglied der Cartoon Malware Familie entdeckt. Die G DATA Sicherheitsexperten vermuten, dass Casper der Nachfolger von Babar und EvilBunny ist und von den gleichen Programmierern entwickelt wurde – möglicherweise mit Verbindungen zum französischen Nachrichtendienst. Die Informationen zu der Malware stammen ursprünglich aus Dokumenten des kanadischen Nachrichtendienstes CSEC (Communication Security Establishment Canada), die im Zuge der Snowden-Enthüllungen bekannt wurden. Casper weist allerdings interessante Veränderungen zu seinen Vorfahren auf: Die Malware ist modular aufgebaut, um je nach Ziel passende Schadsoftware nachzuladen und hat eine Taktik gegen Sicherheitslösungen an Bord.
Babar konnte bereits die auf dem System installierte Sicherheitslösung identifizieren. Casper geht einen Schritt weiter und kann neben der Identifizierung verschiedene Strategien initiieren, um die Erkennung durch die Sicherheits-Software zu umgehen. Die Analyse hat gezeigt, dass Casper über eine Sicherheitslücke im Adobe Flash Player (Zero-Day-Exploit) auf den Computer gelangt. Seine Kommandos erhält die Malware von einer Webseite, die auf das syrische Justizministerium registriert ist. Auf dieser Internetseite können sich syrische Bürger über die Verletzung von Gesetzesverstößen beschweren.
Detaillierte Informationen zu Casper im G DATA SecurityBlog:
https://blog.gdatasoftware.com/blog/article/casper-the-newest-member-of-the-cartoon-malware-family.html
Die Analyse zur Malware Babar gibt es hier: https://blog.gdata.de/artikel/babar-spionagesoftware-endlich-gefunden-und-unter-die-lupe-genommen/
Babar konnte bereits die auf dem System installierte Sicherheitslösung identifizieren. Casper geht einen Schritt weiter und kann neben der Identifizierung verschiedene Strategien initiieren, um die Erkennung durch die Sicherheits-Software zu umgehen. Die Analyse hat gezeigt, dass Casper über eine Sicherheitslücke im Adobe Flash Player (Zero-Day-Exploit) auf den Computer gelangt. Seine Kommandos erhält die Malware von einer Webseite, die auf das syrische Justizministerium registriert ist. Auf dieser Internetseite können sich syrische Bürger über die Verletzung von Gesetzesverstößen beschweren.
Detaillierte Informationen zu Casper im G DATA SecurityBlog:
https://blog.gdatasoftware.com/blog/article/casper-the-newest-member-of-the-cartoon-malware-family.html
Die Analyse zur Malware Babar gibt es hier: https://blog.gdata.de/artikel/babar-spionagesoftware-endlich-gefunden-und-unter-die-lupe-genommen/
