Spyware verbirgt sich hinter geklauten Opera-Zertifikaten

Originalartikel von Alvon Bacani, Escalation Engineer

Kürzlich meldete Opera, dass Angreifer ins firmeneigene Netzwerk eingedrunden sind und mindestens ein abgelaufendes Code-Signing-Zertifikat gestohlen haben. Mit dem Zertifikat signierten sie ihre Malware, die sich danach beim Zielsystem und sogar bei der Sicherheitssoftware als legitime Datei ausgeben konnte.
Die Analyse eines Samples der Schadsoftware (TSPY_FAREIT.ACU) zeigte, dass sie sich als Opera Update ausgibt. Sobald die Malware ausgeführt wird, greift sie wichtige Informationen von bestimmten FTP-Clients oder Dateimanagern ab, einschließlich Nutzernamen, Kennwörter und Servernamen.


Bild 1. Screenshot des geklauten alten digitalen Zertifikats von Opera

Darüber hinaus sammelt TSPY_FAREIT.ACU weitere Informationen von Internet Browsern (wie Mozilla Firefox, Google Chrome und Opera). Diese üblicherweise dort gespeicherten Daten umfassen Anmeldeinformationen für soziale Netzwerke, Banking oder für E-Commerce-Sites, die die Angreifer entweder weiter verkaufen oder für nicht autorisierte Transaktionen über die entsprechenden Nutzerkonten verwenden können. Opera schätzt, dass mehrere Tausend Windows-Nutzer von dem Angriff betroffen sind, und versprach, eine neue Version des Browsers zu veröffentlichen.

Der Missbrauch digitaler Zertifikate, mit dem Ziel Schadsoftware zu tarnen, ist nicht neu und hat sich schon öfters bewährt. Ein Beispiel dafür ist der berüchtigte FLAME-Angriff, bei dem die Kriminellen Komponenten mit Microsoft-Zertifikaten einsetzten. Auch die Police Ransomware, die Bildschirme sperrte, nutzte gefälschte Zertifikate. Letztes Jahr musste Adobe die Nutzer über bösartige Aktivitäten in Kenntnis setzen, im Zuge deren legitime Adobe-Zertifikate verwendet wurden.

Trend Micro erkennt und beseitigt die beschriebene Spyware mit den falschen Zertifikaten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*