Anzeige

Trojaner

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um Präsenz zu verbergen, Privilegien zu erhöhen und anschließend Bankdaten zu stehlen.

Die Gruppe hinter den Trojanern wird in der Branche Metamorfo genannt und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die interessante Angriffstechnik: Die Malware nutzt Dynamic Link Library (DLL) Hijacking um ihre Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Konkret haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind.

Obwohl die Anbieter der betroffenen Software – u.a. Sicherheitslösungen - benachrichtigt wurden und die Schwachstellen behoben haben, können Hacker die alten Schwachstellen weiterhin ausnutzen. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter entweder die anfälligen Komponenten ihrer Softwares beim Hersteller des Betriebssystems auf eine schwarze Liste setzen lassen oder das Zertifikat widerrufen, mit dem die betroffenen Komponenten signiert wurden.

Was ist DLL-Hijacking?

Beim DLL-Hijacking handelt es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem eine Bibliothek mit einer bösartigen Bibliothek ausgetauscht wird. Bei realen Angriffen erhalten Hacker zunächst anfällige, legitime Anwendungen und legen sie neben eine DLL-Datei, die die jeweilige Anwendung natürlich laden würde. Sie ersetzen diese legitime DLL durch eine DLL mit bösartigem Code, so dass die Anwendung stattdessen den Code des Hackers lädt und ausführt.

Stimmt die digitale Signatur, wird bösartiges Verhalten ignoriert

Normalerweise werden legitime Anwendungen mit einem Authenticode-Zertifikat digital signiert. Dies wird als ein Vertrauensbeweis angesehen, da eine mit Authenticode signierte ausführbare Datei weniger alarmierend erscheint, wenn sie erhöhte Berechtigungen anfordert. Zeigt die Benutzerkontensteuerung (User Account Control, UAC) dem Benutzer anschließend an, dass ihr vertrauenswürdiger Softwareanbieter Änderungen am System vornehmen möchte, werden sie dies wahrscheinlich nicht in Frage stellen. Organisationen konfigurieren ihr Erkennungssystem manchmal so, dass digital signierte Anwendungen ungestört ausgeführt werden können und bösartiges Verhalten ignoriert wird. Einige Anti-Malware-Lösungen werden die .EXE wahrscheinlich nicht scannen, da davon ausgegangen wird, dass sie von einer vertrauenswürdigen Quelle stammt.

Wie nutzt Metamorfo DLL-Hijacking?

In der Zeitspanne, in der die Bitdefender-Analysten die Metamorfo-Kampagne überwachten, konnten sie den Missbrauch von fünf verschiedene Software-Komponenten von bekannten Anbietern identifizieren. Sie stammen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA. Einige Komponenten in diesen Produkten luden DLL-Dateien, ohne sicherzustellen, dass diese geladenen Dateien legitim waren. Auf diese Weise wurde der schädliche Code von einem vertrauenswürdigen Prozess geladen und ausgeführt. Außerdem konnten einige Sicherheitslösungen bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da der initiierende Prozess wohl auf der Whitelist als vertrauenswürdig aufgeführt wurde.

Weitere Informationen:

Wie Metamorfo DLL-Hijacking nutzt um Bankdaten stehlen zu können, hat Bitdefender in einem umfassenden Whitepaper zusammengefasst.

www.bitdefender.de
 


Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.