Jena, 11. Juli 2018 – Zertifikate – zum Beispiel für HTTPS-Adressen – sollen anzeigen, dass die besuchte Website oder die genutzte Anwendung sicher ist. Diese Annahme machen sich aber nun Cyberkriminelle zunutze, die Zertifikate der taiwanesischen Unternehmen D-Link und Changing Information Technology gestohlen haben. Damit statteten sie ihre Malware mit scheinbar gültigen digitalen Signaturen aus. So konnten zwar viele Systeme getäuscht werden – die ESET-Lösung hat die Malware jedoch erkannt und als schädlich eingestuft.
„Die gestohlenen Zertifikate sollen Malware als gültige Software kennzeichnen und damit einfacher an Sicherheitsprogrammen vorbeischleusen“, erklärt ESET Security-Experte Thomas Uhlemann. „Diese Methode setzte schon der berühmt-berüchtigte Wurm Stuxnet ein, der unter anderem das iranische Atomprogramm störte. Interessanterweise nutzte er ebenfalls Zertifikate von taiwanesischen Unternehmen: RealTek und JMicron.“
Eines der genutzten Code Signing-Zertifikate kam bislang zur Auszeichnung echter D-Link-Software zum Einsatz. ESET informierte D-Link über den Vorfall. Seit dem 3. Juli 2018 wird das kompromittierte digitale Zertifikat zurückgewiesen. Es fand sich bei zwei Malware-Familien: Der ferngesteuerten Backdoor PLEAD sowie einer Komponente zum Stehlen von Passwörtern. Im Zuge der Analysen zur Backdoor stieß ESET auf ein weiteres gestohlenes Zertifikat, das von Changing Information Technology stammte. Dieses wird seit dem 4. Juli 2018 zurückgewiesen.
Mehr darüber, wie die ESET-Forscher die Attacken entdeckt haben, wie derartige Angriffe funktionieren und wie diese Malware-Kampagnen ablaufen, erfahren Sie unter: https://www.welivesecurity.com/deutsch/2018/07/09/plead-malware-gestohlene-d-link-zertifikate/