News

Brasilianische Trojan-Banker jetzt mit digitaler Signatur

Wie einfach ist es für Kriminelle, unter Verwendung gefälschter Daten gültige digitale Zertifikate bei Zertifizierungsstellen zu kaufen, um damit dann trojanische Banker-Programme zu zertifizieren? In Brasilien scheint es sehr einfach zu sein.

Heutzutage versehen die meisten Software-Entwickler ihre Programme mit einer digitalen Signatur. Beteiligt an diesem Prozess sind Zertifizierungsstellen, die die Echtheit der Dateien beglaubigen müssen und ein Zertifikat an die Entwickler ausgeben.

Wir wissen, dass gültige oder gestohlene digitale Zertifikate von einigen Malware-Autoren eingesetzt werden, um Dateien zu erstellen, die dann einige Zeit unentdeckt bleiben und als legitim angesehen werden. Jetzt haben brasilianische Cyberkriminelle begonnen, diese Technik bei ihren Schadprogrammen anzuwenden, um auf diese Weise mehr Zeit zu gewinnen, die Schaddateien unentdeckt zu verbreiten. Kürzlich stießen wir auf einen Trojan-Banker, der mit einem gültigen, von einer Zertifizierungsstelle ausgegebenen digitalen Zertifikat signiert war. Offensichtlich wurden gefälschte Firmendaten verwendet, um an dieses Zertifikat zu gelangen.

Wie einfach ist es für Zertifizierungsstellen zu überprüfen, ob die erhaltenen Daten legitim sind oder nicht? Brasilianische Cyberkriminelle haben eine Domain mit der Bezeichnung gastecnology.org registriert, wobei sie den Namen eines bekannten und angesehenen, lokalen Software-Unternehmens verwendeten. Hier die Daten, die für die Registrierung der Domain verwendet wurden:

207319931

Die Daten sind frei erfunden. Die Domain wurde unter Verwendung einer kostenlosen Webmail-Adresse (Yahoo) registriert. Unter der Adresse in der schönen Stadt Vitória befindet sich ein Wohngebäude:

207319932

Die bei der Registrierung angegebene Telefonnummer ist ebenfalls falsch; sie gehört nicht zu Vitória (mit der Vorwahl 27), sondern zu Pernambuco State (Vorwahl 81). Doch selbst mit diesen unsinnigen Daten in der registrierten Domain war es den Cyberkriminellen möglich, ein digitales Zertifikat von Comodo zu kaufen, herausgegeben am 28. Mai und gültig bis zum 29. Mai 2015:

207319933

Nachdem der Kauf des Zertifikats ein reines Kinderspiel war, begannen sie, ihre Trojaner zu signieren:

207319934

Brasilianische Internet-Banking-Nutzer wurden in einem Massenmailing dazu aufgefordert, ein “Update” zu installieren, woraufhin sich einige von ihnen infizierten.

Einer der Trojaner verwendete neben der digitalen Signatur einen weiteren, unter Malware-Autoren gebräuchlichen Trick: In der Dateibeschreibung wurde HP erwähnt, um der Datei den Anstrich der Legitimität zu geben.

207319935

Die digitalen Zertifikate wurde 15 Tage nach Ausgabe von Comodo zurückgerufen, nachdem ein lokales Sicherheitsunternehmen Alarm geschlagen hatte. Kaspersky detektiert das Schadprogramm als Trojan-Banker.Win32.Banbra.atfl.

Brasilianische Trojan-Banker jetzt mit digitaler Signatur

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach