Anzeige

Trojaner

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um Präsenz zu verbergen, Privilegien zu erhöhen und anschließend Bankdaten zu stehlen.

Die Gruppe hinter den Trojanern wird in der Branche Metamorfo genannt und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die interessante Angriffstechnik: Die Malware nutzt Dynamic Link Library (DLL) Hijacking um ihre Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Konkret haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind.

Obwohl die Anbieter der betroffenen Software – u.a. Sicherheitslösungen - benachrichtigt wurden und die Schwachstellen behoben haben, können Hacker die alten Schwachstellen weiterhin ausnutzen. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter entweder die anfälligen Komponenten ihrer Softwares beim Hersteller des Betriebssystems auf eine schwarze Liste setzen lassen oder das Zertifikat widerrufen, mit dem die betroffenen Komponenten signiert wurden.

Was ist DLL-Hijacking?

Beim DLL-Hijacking handelt es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem eine Bibliothek mit einer bösartigen Bibliothek ausgetauscht wird. Bei realen Angriffen erhalten Hacker zunächst anfällige, legitime Anwendungen und legen sie neben eine DLL-Datei, die die jeweilige Anwendung natürlich laden würde. Sie ersetzen diese legitime DLL durch eine DLL mit bösartigem Code, so dass die Anwendung stattdessen den Code des Hackers lädt und ausführt.

Stimmt die digitale Signatur, wird bösartiges Verhalten ignoriert

Normalerweise werden legitime Anwendungen mit einem Authenticode-Zertifikat digital signiert. Dies wird als ein Vertrauensbeweis angesehen, da eine mit Authenticode signierte ausführbare Datei weniger alarmierend erscheint, wenn sie erhöhte Berechtigungen anfordert. Zeigt die Benutzerkontensteuerung (User Account Control, UAC) dem Benutzer anschließend an, dass ihr vertrauenswürdiger Softwareanbieter Änderungen am System vornehmen möchte, werden sie dies wahrscheinlich nicht in Frage stellen. Organisationen konfigurieren ihr Erkennungssystem manchmal so, dass digital signierte Anwendungen ungestört ausgeführt werden können und bösartiges Verhalten ignoriert wird. Einige Anti-Malware-Lösungen werden die .EXE wahrscheinlich nicht scannen, da davon ausgegangen wird, dass sie von einer vertrauenswürdigen Quelle stammt.

Wie nutzt Metamorfo DLL-Hijacking?

In der Zeitspanne, in der die Bitdefender-Analysten die Metamorfo-Kampagne überwachten, konnten sie den Missbrauch von fünf verschiedene Software-Komponenten von bekannten Anbietern identifizieren. Sie stammen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA. Einige Komponenten in diesen Produkten luden DLL-Dateien, ohne sicherzustellen, dass diese geladenen Dateien legitim waren. Auf diese Weise wurde der schädliche Code von einem vertrauenswürdigen Prozess geladen und ausgeführt. Außerdem konnten einige Sicherheitslösungen bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da der initiierende Prozess wohl auf der Whitelist als vertrauenswürdig aufgeführt wurde.

Weitere Informationen:

Wie Metamorfo DLL-Hijacking nutzt um Bankdaten stehlen zu können, hat Bitdefender in einem umfassenden Whitepaper zusammengefasst.

www.bitdefender.de
 


Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.