Gestohlene Zertifikate entdeckt
Die Forscher fanden die Malware, als deren Systeme mehrere Dateien als verdächtig einstuften. Interessanterweise trugen die markierten Dateien valide digitale Signaturen durch Code Signing-Zertifikate von der D-Link Corporation. Das gleiche Zertifikat wurde dazu benutzt, nicht schädliche D-Link Software zu signieren. Ei n Hinweis also, dass das Zertifikat gestohlen wurde.
Wie weiter dazu auf welivesecurity.com verlautete bestätigte sich bald die schädliche Natur der Dateien. Die Forscher setzten D-Link darüber in Kenntnis, worauf das Unternehmen seine eigenen Untersuchungen begann. Seit dem 3. Juli 2018 wird das kompromittierte digitale Zertifikat von D-Link zurückgewiesen.
Wie funktioniert die Malware?
Dazu heißt es, dass die Analysen zwei unterschiedliche Malware-Familien ergaben, die sich das gestohlene Zertifikat zu Nutze machten. Einerseits handelt es sich hierbei um die PLEAD Malware – eine ferngesteuerte Backdoor – und um eine Komponente zum Stehlen von Passwörtern. Erst vor gut einem Monat veröffentlichte das Japan Computer Emergency Response Team (JPCERT) eine tiefergehende Analyse der PLEAD Backdoor. Micro Trend zu Folge wird die Hintertür von der Cyberspionage Gruppe BlackTech eingesetzt.
Neben den PLEAD Samples, welche mit D-Link Zertifikaten signiert waren, haben ESET-Forscher auch Samples identifiziert, die ein Zertifikat eines taiwanesischen Sicherheitsunternehmens Changing Information Technology Inc. missbrauchten.
Die signierten PLEAD Malware-Samples waren sehr mit unbrauchbaren (Junk-)Code übersät. Allerdings verfolgen sie alle denselben Zweck. Von einem Remote Server oder vom lokalen Speicher aus öffnet der Schadcode ein kleines verschlüsseltes BLOB. Dieses BLOB enthält einen verschlüsselten Shellcode, der das abschließende PLEAD-Backdoor-Modul herunterlädt.
Das Passwort-Stealer-Tool wird verwendet, um gespeicherte Passwörter von folgenden Anwendungen zu sammeln:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Mit gestohlenen Zertifikaten Malware verbergen
Dazu heißt es: Das Zweckentfremden von digitalen Zertifikaten ist ein Weg vieler Cyberkrimineller ihre schädlichen Absichten zu verschleiern. Ein gestohlenes Zertifikat kann Malware als valide Software klassifizieren. Damit besteht die größere Chance, dass sich die Malware an Sicherheitsmaßnahmen ohne größere Aufmerksamkeit vorbeischummelt.
Die möglicherweise bekannteste Malware, die sich für den Diebstahl mehrerer digitaler Zertifikate verantwortlich machen muss, ist der Stuxnet Wurm. Die 2010 entdeckte Malware ist für eine der ersten Cyberattacken auf kritische Infrastrukturen bekannt. Stuxnet benutzte gestohlene RealTek und JMicron Zertifikate – zwei sehr bekannte Sicherheitsunternehmen, die auch aus Taiwan stammen.
Weiterführende Links:
welivesecurity.com:PLEAD Malware: Gestohlene Zertifikate taiwanischer Tech-Unternehmen missbraucht