Proofpoint warnt vor Arid Viper Malware

Das Forschungsteam von Proofpoint warnt vor einer zunehmende Aktivität und Präsenz der gezielten Malware Arid Viper. Der Anfang dieses Jahres entdeckte und vorrangig Unternehmen im Nahen Osten anvisierende Trojaner liefert eine Backdoor und Spyware, mit der Informationen von infizierten Systemen gestohlen werden. Uninteressante Dateien werden dabei ausgefiltert und die Verteilung erfolgt primär über gezielte Phishing-E-Mails, in denen meist mit pornografischen Videos gelockt wird.

Neue Entwicklungen:

Die neu aufgelegte Arid Viper-Kampagne zeigt, dass die Arid Viper/Desert Falcons-Bedrohung trotz ihres relativ unauffälligen Profils weiterhin ein Risiko für Unternehmen weltweit darstellt. Das neue Arid Viper enthält mehrere Updates und Erweiterungen seines Angriffsprofils und verhält sich ähnlich wie die ursprünglich dokumentierten Kampagnen. Besonderheiten:

  • Verwendung von Links statt Anhängen
  • Neue Köder: weiterhin pornografische Videos, doch seit Kurzem auch Mitschnitte von Autounfällen
  • Neuer Name der ausführbaren Datei: ursprünglich „skype.exe“ (und Variationen von „skype“), seit Kurzem „chrome.exe“
  • Neue C2-Domains
  • Zusätzliche Verschlüsselung für exfiltrierte Daten

„Die aktuell steigende Aktivität und Präsenz von Arid Viper demonstriert, dass Altes wieder neu ist – ähnlich dem Wiederaufleben von schadhaften Anhängen, das wir in der ersten Jahreshälfte beobachten konnten. Man muss sich stets vor Augen halten, dass Angreifer ihre Strategien ständig ändern und man selbst daher nicht so geschützt ist, wie man glauben möchte. Ähnlich wie bei Grippeschutzimpfungen greifen auch veraltete statische Sicherheitslösungen nicht, wenn sich die Infektion verändert oder weiterentwickelt wird. Diese spezielle Malware kam erstmals 2013 auf und wurde seither regelmäßig gegen ausgereifte Sicherheitssysteme eingesetzt. Es ist anzunehmen, dass Arid Viper auch in Zukunft Thema sein wird.“ – Kevin Epstein, Vice President der Abteilung Threat Operations bei Proofpoint

Weitere Informationen zur Weiterentwicklung von Arid Viper entnehmen Sie gerne dem folgenden Blog Post des Proofpoint Research Teams: https://www.proofpoint.com/us/threat-insight/post/Operation-Arid-Viper-Slithers-Back-Into-View.