Aktuelle Bitdefender Analyse

Trojaner Metamorfo greift Banken mit DLL-Hijacking an

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um Präsenz zu verbergen, Privilegien zu erhöhen und anschließend Bankdaten zu stehlen.

Die Gruppe hinter den Trojanern wird in der Branche Metamorfo genannt und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die interessante Angriffstechnik: Die Malware nutzt Dynamic Link Library (DLL) Hijacking um ihre Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Konkret haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind.

Anzeige

Obwohl die Anbieter der betroffenen Software – u.a. Sicherheitslösungen – benachrichtigt wurden und die Schwachstellen behoben haben, können Hacker die alten Schwachstellen weiterhin ausnutzen. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter entweder die anfälligen Komponenten ihrer Softwares beim Hersteller des Betriebssystems auf eine schwarze Liste setzen lassen oder das Zertifikat widerrufen, mit dem die betroffenen Komponenten signiert wurden.

Was ist DLL-Hijacking?

Beim DLL-Hijacking handelt es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem eine Bibliothek mit einer bösartigen Bibliothek ausgetauscht wird. Bei realen Angriffen erhalten Hacker zunächst anfällige, legitime Anwendungen und legen sie neben eine DLL-Datei, die die jeweilige Anwendung natürlich laden würde. Sie ersetzen diese legitime DLL durch eine DLL mit bösartigem Code, so dass die Anwendung stattdessen den Code des Hackers lädt und ausführt.

Stimmt die digitale Signatur, wird bösartiges Verhalten ignoriert

Normalerweise werden legitime Anwendungen mit einem Authenticode-Zertifikat digital signiert. Dies wird als ein Vertrauensbeweis angesehen, da eine mit Authenticode signierte ausführbare Datei weniger alarmierend erscheint, wenn sie erhöhte Berechtigungen anfordert. Zeigt die Benutzerkontensteuerung (User Account Control, UAC) dem Benutzer anschließend an, dass ihr vertrauenswürdiger Softwareanbieter Änderungen am System vornehmen möchte, werden sie dies wahrscheinlich nicht in Frage stellen. Organisationen konfigurieren ihr Erkennungssystem manchmal so, dass digital signierte Anwendungen ungestört ausgeführt werden können und bösartiges Verhalten ignoriert wird. Einige Anti-Malware-Lösungen werden die .EXE wahrscheinlich nicht scannen, da davon ausgegangen wird, dass sie von einer vertrauenswürdigen Quelle stammt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie nutzt Metamorfo DLL-Hijacking?

In der Zeitspanne, in der die Bitdefender-Analysten die Metamorfo-Kampagne überwachten, konnten sie den Missbrauch von fünf verschiedene Software-Komponenten von bekannten Anbietern identifizieren. Sie stammen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA. Einige Komponenten in diesen Produkten luden DLL-Dateien, ohne sicherzustellen, dass diese geladenen Dateien legitim waren. Auf diese Weise wurde der schädliche Code von einem vertrauenswürdigen Prozess geladen und ausgeführt. Außerdem konnten einige Sicherheitslösungen bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da der initiierende Prozess wohl auf der Whitelist als vertrauenswürdig aufgeführt wurde.

Weitere Informationen:

Wie Metamorfo DLL-Hijacking nutzt um Bankdaten stehlen zu können, hat Bitdefender in einem umfassenden Whitepaper zusammengefasst.

www.bitdefender.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.