Anzeige

Trojaner

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um Präsenz zu verbergen, Privilegien zu erhöhen und anschließend Bankdaten zu stehlen.

Die Gruppe hinter den Trojanern wird in der Branche Metamorfo genannt und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die interessante Angriffstechnik: Die Malware nutzt Dynamic Link Library (DLL) Hijacking um ihre Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Konkret haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind.

Obwohl die Anbieter der betroffenen Software – u.a. Sicherheitslösungen - benachrichtigt wurden und die Schwachstellen behoben haben, können Hacker die alten Schwachstellen weiterhin ausnutzen. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter entweder die anfälligen Komponenten ihrer Softwares beim Hersteller des Betriebssystems auf eine schwarze Liste setzen lassen oder das Zertifikat widerrufen, mit dem die betroffenen Komponenten signiert wurden.

Was ist DLL-Hijacking?

Beim DLL-Hijacking handelt es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem eine Bibliothek mit einer bösartigen Bibliothek ausgetauscht wird. Bei realen Angriffen erhalten Hacker zunächst anfällige, legitime Anwendungen und legen sie neben eine DLL-Datei, die die jeweilige Anwendung natürlich laden würde. Sie ersetzen diese legitime DLL durch eine DLL mit bösartigem Code, so dass die Anwendung stattdessen den Code des Hackers lädt und ausführt.

Stimmt die digitale Signatur, wird bösartiges Verhalten ignoriert

Normalerweise werden legitime Anwendungen mit einem Authenticode-Zertifikat digital signiert. Dies wird als ein Vertrauensbeweis angesehen, da eine mit Authenticode signierte ausführbare Datei weniger alarmierend erscheint, wenn sie erhöhte Berechtigungen anfordert. Zeigt die Benutzerkontensteuerung (User Account Control, UAC) dem Benutzer anschließend an, dass ihr vertrauenswürdiger Softwareanbieter Änderungen am System vornehmen möchte, werden sie dies wahrscheinlich nicht in Frage stellen. Organisationen konfigurieren ihr Erkennungssystem manchmal so, dass digital signierte Anwendungen ungestört ausgeführt werden können und bösartiges Verhalten ignoriert wird. Einige Anti-Malware-Lösungen werden die .EXE wahrscheinlich nicht scannen, da davon ausgegangen wird, dass sie von einer vertrauenswürdigen Quelle stammt.

Wie nutzt Metamorfo DLL-Hijacking?

In der Zeitspanne, in der die Bitdefender-Analysten die Metamorfo-Kampagne überwachten, konnten sie den Missbrauch von fünf verschiedene Software-Komponenten von bekannten Anbietern identifizieren. Sie stammen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA. Einige Komponenten in diesen Produkten luden DLL-Dateien, ohne sicherzustellen, dass diese geladenen Dateien legitim waren. Auf diese Weise wurde der schädliche Code von einem vertrauenswürdigen Prozess geladen und ausgeführt. Außerdem konnten einige Sicherheitslösungen bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da der initiierende Prozess wohl auf der Whitelist als vertrauenswürdig aufgeführt wurde.

Weitere Informationen:

Wie Metamorfo DLL-Hijacking nutzt um Bankdaten stehlen zu können, hat Bitdefender in einem umfassenden Whitepaper zusammengefasst.

www.bitdefender.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!