Anzeige

Trojaner

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um Präsenz zu verbergen, Privilegien zu erhöhen und anschließend Bankdaten zu stehlen.

Die Gruppe hinter den Trojanern wird in der Branche Metamorfo genannt und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die interessante Angriffstechnik: Die Malware nutzt Dynamic Link Library (DLL) Hijacking um ihre Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Konkret haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind.

Obwohl die Anbieter der betroffenen Software – u.a. Sicherheitslösungen - benachrichtigt wurden und die Schwachstellen behoben haben, können Hacker die alten Schwachstellen weiterhin ausnutzen. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter entweder die anfälligen Komponenten ihrer Softwares beim Hersteller des Betriebssystems auf eine schwarze Liste setzen lassen oder das Zertifikat widerrufen, mit dem die betroffenen Komponenten signiert wurden.

Was ist DLL-Hijacking?

Beim DLL-Hijacking handelt es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem eine Bibliothek mit einer bösartigen Bibliothek ausgetauscht wird. Bei realen Angriffen erhalten Hacker zunächst anfällige, legitime Anwendungen und legen sie neben eine DLL-Datei, die die jeweilige Anwendung natürlich laden würde. Sie ersetzen diese legitime DLL durch eine DLL mit bösartigem Code, so dass die Anwendung stattdessen den Code des Hackers lädt und ausführt.

Stimmt die digitale Signatur, wird bösartiges Verhalten ignoriert

Normalerweise werden legitime Anwendungen mit einem Authenticode-Zertifikat digital signiert. Dies wird als ein Vertrauensbeweis angesehen, da eine mit Authenticode signierte ausführbare Datei weniger alarmierend erscheint, wenn sie erhöhte Berechtigungen anfordert. Zeigt die Benutzerkontensteuerung (User Account Control, UAC) dem Benutzer anschließend an, dass ihr vertrauenswürdiger Softwareanbieter Änderungen am System vornehmen möchte, werden sie dies wahrscheinlich nicht in Frage stellen. Organisationen konfigurieren ihr Erkennungssystem manchmal so, dass digital signierte Anwendungen ungestört ausgeführt werden können und bösartiges Verhalten ignoriert wird. Einige Anti-Malware-Lösungen werden die .EXE wahrscheinlich nicht scannen, da davon ausgegangen wird, dass sie von einer vertrauenswürdigen Quelle stammt.

Wie nutzt Metamorfo DLL-Hijacking?

In der Zeitspanne, in der die Bitdefender-Analysten die Metamorfo-Kampagne überwachten, konnten sie den Missbrauch von fünf verschiedene Software-Komponenten von bekannten Anbietern identifizieren. Sie stammen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA. Einige Komponenten in diesen Produkten luden DLL-Dateien, ohne sicherzustellen, dass diese geladenen Dateien legitim waren. Auf diese Weise wurde der schädliche Code von einem vertrauenswürdigen Prozess geladen und ausgeführt. Außerdem konnten einige Sicherheitslösungen bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da der initiierende Prozess wohl auf der Whitelist als vertrauenswürdig aufgeführt wurde.

Weitere Informationen:

Wie Metamorfo DLL-Hijacking nutzt um Bankdaten stehlen zu können, hat Bitdefender in einem umfassenden Whitepaper zusammengefasst.

www.bitdefender.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!