Gefährliche Malware
11.07.2018, 16:19 Uhr
Hacker nutzen Zertifikate von D-Link zum Einschleusen von Schadcode
Zum Verbreiten ihrer Malware setzen Hacker zunehmend auf geklaute Zertifikate. Immer häufiger versuchen sie auf diese Weise auch, an geheime Geschäftsdaten zu kommen.
Dem Sicherheitsanbieter Eset sind mehrere Schaddateien ins Netz gegangen, die mit einem Zertifikat des taiwanesischen Netzwerkherstellers D-Link unterzeichnet waren. Das Zertifikat war auch zum Signieren legitimer Dateien verwendet worden. Eset ging deswegen relativ schnell davon aus, dass es sich dabei um ein echtes Zertifikat handelt. D-Link wurde mittlerweile von Eset informiert und hat das fragliche Zertifikat sowie ein weiteres nun zurückgezogen.
D-Link weist in einer Stellungnahme darauf hin, dass auch andere asiatische Hersteller in der Vergangenheit Opfer eine kriminellen Bande wurden, die gestohlene Zertifikate verwendet, um ihre Plead getaufte Malware leichter verbreiten zu können. Die zurückgerufenen Zertifikate waren von D-Link für die IP-Kameras des Unternehmens verwendet worden.
Zertifikate zum Einschleusen von Schadcode
Plead öffnet auf infizierten Computern eine Backdoor, die aus der Ferne ausgenutzt werden kann, um Daten zu stehlen und um weiteren Schadcode einzuschleusen. Die Malware kommuniziert dazu mit einem Steuerserver, der sie mit weiteren Instruktionen versorgt. Die Verbindung mit diesem Server wird mit RC4 verschlüsselt und mit LZO komprimiert. Eines der wichtigsten Ziele von Plead sollen Passwörter sein, die in Anwendungen wie Outlook, Chrome, Firefox und dem Internet Explorer gespeichert sind.
Hinter Plead steckt eine Bande namens BlackTech. Sie richtet sich laut Trend Micro vor allem gegen Opfer in Taiwan, aber gelegentlich auch gegen Firmen in Japan und Hong Kong. Wie das japanische Sicherheitsunternehmen vermutet, geht es dabei vornehmlich um den Diebstahl von sensiblen Geschäftsdaten und Informationen über neue Techniken.
Ein weiteres Unternehmen, dem laut Eset mindestens ein Zertifikat abhanden gekommen ist, soll der taiwanesische Sicherheitsanbieter Changing Information Technology (CIT) sein. CIT hat das fragliche Zertifikat mittlerweile ebenfalls zurückgerufen. Das hindert BlackTech jedoch aber anscheinend nicht daran, es weiter zum Signieren von Malware einzusetzen.