Das kann der vermeintlich französische Staatstrojaner

(Bild: Shutterstock)

Die "Babar64" genannte Schadsoftware ist für Windows-Desktops konzipiert und wurde von mehreren Sicherheitsforschern, darunter Mitarbeiter von Cyphort und GData, entdeckt. Ihnen zufolge verbirgt sich der französische Geheimdienst hinter der Malware.

Dass der Verdacht auf unseren Nachbarstaat fällt, liegt an einem Auszug aus dem Fundus des Whistleblowers Edward Snowden. In dem kürzlich im Spiegel veröffentlichten Dokument beschreibt der kanadische Geheimdienst CSES ebenfalls eine “Babar” genannte Malware, hinter der Frankreich vermutet wird. Sie kann Daten von Messenger-Anwendungen wie Skype aber auch Browser und Office-Programme ausspionieren.

“Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird”, führt Marschalek im Cyphort-Blog aus. Zweifelsfrei könne der Vorwurf allerdings nicht bewiesen werden. Mit Bestimmtheit lasse sich aber sagen, dass Babar fortschrittlicher sei als übliche Malware.

Windows-Rechner würden wahrscheinlich per Drive-by-Download oder über bösartige E-Mail-Anhänge infiziert, so Marschalek weiter. Barbar selbst sei eine 32-Bit-DLL-Datei, die in C++ geschrieben sei und sich in Windows-Anwendungen einklinke. Der Schädling könne Tastatureingaben aufzeichnen, Screenshots erstellen, Telefonieanwendungen abhören und Instant Messenger ausspähen. “Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.”

Babar geht dem Blogeintrag zufolge gezielt gegen die Browser Internet Explorer, Firefox, Opera, Chrome und Safari vor. Zudem suche die Malware nach den Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch die Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader nimmt Babar ins Visier.

Als Befehlsserver nutzt Barbar der Analyse zufolge zwei legitime Websites, darunter die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei derzeit nicht erreichbar.

Erstmals war der Name “Babar”, der einem französischen Kinderbuch entnommen ist, im März 2014 in einem Bericht von Le Monde aufgetaucht. Unter Berufung auf ein Snowden-Dokument meldete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Zusammenhang von einer “Operation Babar”.

Lies auch: Equation Group – die vielleicht besten Hacker der Welt

Tags :Quellen:(Bild: Shutterstock)Via:Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising