FlagPro-Malware

Flagpro ist ein neuer Malware-Stamm, der vermutlich von einer Gruppe von Cyberkriminellen in den ersten Phasen von mehrstufigen Netzwerkaufklärungsangriffen eingesetzt wird. Flagpro zielt zunächst auf in Japan ansässige Unternehmen ab und dringt in Netzwerke ein, um zusätzliche Malware einzuschleusen und auszuführen.

Der von BlackTech , der für die Angriffe verantwortlichen Cybergang, verwendete Infektionsvektor ist der gute alte Phishing-Betrug. Unter dem Deckmantel echt aussehender Geschäftskorrespondenz kommt Flagpro als mit Malware beladene Makrodatei in einer angehängten, passwortgeschützten Microsoft Excel-Datei an. Beim Öffnen führt das Dokument Flagpro als Startprozess aus. Letztere sendet Systemdaten an eine externe Command-and-Control (C&C)-Zentrale und wartet auf weitere Anweisungen.

Angeblich seit mehr als einem Jahr im Umlauf, gibt es Flagpro in zwei Versionen mit geringfügigen Codeunterschieden dazwischen. Im Gegensatz zu v1.0 schließt v2.0 automatisch alle Dialogfelder, die die Kommunikation mit dem externen C&C-Server anzeigen. Da solche Kontakte überwiegend auf Englisch und Chinesisch erfolgen, gehen wir davon aus, dass die BlackTech APT Cybergang chinesischer Herkunft sein könnte. Darüber hinaus scheint BlackTech enge Verbindungen zu dem berüchtigten WaterBear-Spionageteam zu haben, von dem angenommen wird, dass es ebenfalls aus China stammt.

Da es zwei Flagpro-Versionen gibt, können wir nicht ausschließen, dass in naher Zukunft weitere Varianten folgen werden. Sie sollten Ihre Anti-Malware-Tools am Laufen halten, um zu verhindern, dass eine potenzielle Flagpro-Infektion Ihren PC erreicht.