Brasilianische Trojan-Banker jetzt mit digitaler Signatur

Wie einfach ist es für Kriminelle, unter Verwendung gefälschter Daten gültige digitale Zertifikate bei Zertifizierungsstellen zu kaufen, um damit dann trojanische Banker-Programme zu zertifizieren? In Brasilien scheint es sehr einfach zu sein.

Heutzutage versehen die meisten Software-Entwickler ihre Programme mit einer digitalen Signatur. Beteiligt an diesem Prozess sind Zertifizierungsstellen, die die Echtheit der Dateien beglaubigen müssen und ein Zertifikat an die Entwickler ausgeben.

Wir wissen, dass gültige oder gestohlene digitale Zertifikate von einigen Malware-Autoren eingesetzt werden, um Dateien zu erstellen, die dann einige Zeit unentdeckt bleiben und als legitim angesehen werden. Jetzt haben brasilianische Cyberkriminelle begonnen, diese Technik bei ihren Schadprogrammen anzuwenden, um auf diese Weise mehr Zeit zu gewinnen, die Schaddateien unentdeckt zu verbreiten. Kürzlich stießen wir auf einen Trojan-Banker, der mit einem gültigen, von einer Zertifizierungsstelle ausgegebenen digitalen Zertifikat signiert war. Offensichtlich wurden gefälschte Firmendaten verwendet, um an dieses Zertifikat zu gelangen.

Wie einfach ist es für Zertifizierungsstellen zu überprüfen, ob die erhaltenen Daten legitim sind oder nicht? Brasilianische Cyberkriminelle haben eine Domain mit der Bezeichnung gastecnology.org registriert, wobei sie den Namen eines bekannten und angesehenen, lokalen Software-Unternehmens verwendeten. Hier die Daten, die für die Registrierung der Domain verwendet wurden:

207319931

Die Daten sind frei erfunden. Die Domain wurde unter Verwendung einer kostenlosen Webmail-Adresse (Yahoo) registriert. Unter der Adresse in der schönen Stadt Vitória befindet sich ein Wohngebäude:

207319932

Die bei der Registrierung angegebene Telefonnummer ist ebenfalls falsch; sie gehört nicht zu Vitória (mit der Vorwahl 27), sondern zu Pernambuco State (Vorwahl 81). Doch selbst mit diesen unsinnigen Daten in der registrierten Domain war es den Cyberkriminellen möglich, ein digitales Zertifikat von Comodo zu kaufen, herausgegeben am 28. Mai und gültig bis zum 29. Mai 2015:

207319933

Nachdem der Kauf des Zertifikats ein reines Kinderspiel war, begannen sie, ihre Trojaner zu signieren:

207319934

Brasilianische Internet-Banking-Nutzer wurden in einem Massenmailing dazu aufgefordert, ein “Update” zu installieren, woraufhin sich einige von ihnen infizierten.

Einer der Trojaner verwendete neben der digitalen Signatur einen weiteren, unter Malware-Autoren gebräuchlichen Trick: In der Dateibeschreibung wurde HP erwähnt, um der Datei den Anstrich der Legitimität zu geben.

207319935

Die digitalen Zertifikate wurde 15 Tage nach Ausgabe von Comodo zurückgerufen, nachdem ein lokales Sicherheitsunternehmen Alarm geschlagen hatte. Kaspersky detektiert das Schadprogramm als Trojan-Banker.Win32.Banbra.atfl.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.