Danske IP-adresser har været brugt til at aktivere en ny malware, som den berygtede hackergruppe DeathStalker står bag.
Det betyder at danske finansielle virksomheder kan have åbnet op for en bagdør, som hackerne udnytter.
DeathStalker, der primært lejer deres ydelser til højestbydende, har siden 2012 gennemført spionagekampagner mod små og mellemstore virksomheder – typisk advokatfirmaer og virksomheder i den finansielle sektor.
Deres kunder er villige til at betale for følsomme forretningsoplysninger fra virksomheder i den finansielle og juridiske sektor.
Ny malware gemmer sig i billeder
Sikkerhedsvirksomheden Kasperskys trussels-analytikere har afdækket en ny malwarekampagne fra gruppen, og har opdaget at både danske, svenske, tyske og schweiziske ip-adresser allerede har aktiveret malwaren, som Kaspersky har døbt PowerPepper.
Navnet kommer af, at den ondsindede kode er indlejret i, hvad der ser ud til at være billeder af bregner eller peberfrugter, som aktiverer et loader-script.
PowerPepper distribueres via spearphishing-mails, der er mails målrettet navngivne virksomheder og personer.
De uforsigtige, der trykker på billedet i mailen, og derved aktiverer malwaren, får installeret en bagdør ind til deres virksomhed, hvorefter de kriminelle har ekstern kontrol over ofrets enhed.
Gruppen opererer i Europa, USA og Asien
PowerPepper er primært aktiv i Europa, men er også spottet i USA og Asien.
PowerPepper er den fjerde malware, de har udviklet, og Kasperskys analytikere er ved at undersøge en mulig femte.
”Selvom malwaren ikke er særlig sofistikeret, så har DeathStalkers malware vist sig at være ret effektiv. Måske fordi deres primære mål er små og mellemstore virksomheder, der har tendens til at have mindre robuste sikkerhedsprogrammer aktiveret. Vi forventer, at DeathStalker forbliver aktiv, og vi vil fortsætte med at overvåge den,” siger Pierre Delcher, sikkerhedsekspert hos Kaspersky.
DeathStalkers tidligere kampagner har særligt været målrettet finansielle virksomheder og advokatkontorer, og med denne kampagne har man identificeret en ip-adresse tilhørende et advokatkontor, der er ramt - dog ikke i Danmark.
"DeathStalker målretter mod finansielle og juridiske konsulentfirmaer mere end nogen anden form for organisation i forhold til, hvad vi kunne observere i tidligere kampagner."