Schadprogramme mit Adobe-Zertifikaten im Umlauf

Originalartikel von Gelo Abendan, Technical Communications

Zertifikate mit Codesignaturen bestätigen, dass eine Software nicht bösartig verändert wurde. Doch was passiert, wenn ein Schadprogramm legal ausgegebene Zertifikate nutzt? Letzte Woche veröffentlichte Adobe ein Advisory, in dem der Hersteller Nutzer vor genau solchen schädlichen Programmen mit legalen Adobe-Zertifikaten warnte. Auch wies der Anbieter darauf hin, dass er voraussichtlich am 4. Oktober alle Zertifikate für Codesignaturen seit Juli dieses Jahres zurückziehen will.

Trend Micro-Sicherheitsforscher haben diese schädlichen Programme analysiert und folgende Schädlinge gefunden:

HTKL_PWDUMP extrahiert Hash-Werte aus den Binaries SAM- und SYSTEM-Dateien ins Dateisystem. Dies kann dazu führen, dass Windows-Kennwörter ohne Autorisierung entnommen werden – ein wohlbekanntes Tool. TOJ_AGENT.MGSM wiederum leitet den Verkehr auf einen Webserver um.

Die Gefahr von Malware, die valide Zertifikate nutzt, liegt darin, dass die Angreifer diese als Social Engineering-Taktik verwenden können, denn User vertrauen signierten Programmen und führen sie aus. Cyberkriminelle haben diese Technik auch bereits in gezielten Angriffen angewendet. Beispielsweise missbrauchten bestimmte Komponenten in dem berüchtigten FLAME-Angriff im Iran und in anderen Ländern von Microsoft ausgegebene Zertifikate.

Adobe versichert, dass Systeme mit echter Adobe-Software nicht betroffen seien und daher keine Gefahr für die Kunden bestehe. Dennoch müssen möglicherweise IT-Administratoren bestimmte Maßnahmen ergreifen, etwa Zertifikat-Updates einspielen.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Bedrohung, denn es erkennt und entfernt die Programme.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*