Neue Zeus-Variante mit digitalem Zertifikat


blog_zeuszert

Berichten zufolge hat Zeus wieder zugeschlagen – dieses Mal mit einem betrügerischen digitalen Zertifikat in seiner Trickkiste.

Wie bei seinen Vorgängern wird der Finanztrojaner über bösartige E-Mail-Anhänge und Drive-by-Downloads übermittelt. Die Installation wird gestartet, sobald ein auf dem Desktop erscheinendes Icon doppelt geklickt wird. Dieses sieht wie ein unschuldiges Internet Explorer-Dokument aus. Benutzer, die die Installation ausführen, werden anschließend von Malware infiziert, die es dem Autor erlaubt, Informationen von Online-Finanztransaktionen über „Man-in-the-Middle“-Angriffe an sich zu bringen sowie von einem Rootkit, das die besagte Malware unsichtbar macht.

Dies mag zwar böse klingen, aber noch schlimmer ist, dass dies nichts Neues ist! Zeus ist bereits seit einiger Zeit im Umlauf und 2013 war er für etwa ein Dritte aller computergestützten Angriffe auf Finanzinstitute verantwortlich. Diese spezielle Variante hat kürzlich Schlagzeilen gemacht, da sie zusätzlich zu ihrer bereits trügerischen Natur einen weiteren, kleinen Trick nutzt.

Ein betrügerisches digitales Zertifikat

Seriöse Software-Entwickler nutzen digitale Zertifikate, um ihre Identität zu bestätigen und um zu beweisen, dass sie keine Malware oder eigendynamische, betrügerische Software erzeugen. Die gängigste Methode, ein digitales Zertifikat zu erstellen, ist über eine Public Key Infrastruktur (PKI). Mit PKI stellen Zertifizierungsstellen Zertifikate an Software-Anbieter aus, nachdem die Anbieter ihre Identität bestätigt und bewiesen haben, dass ihr Produkt nicht bösartig ist. Die Zertifizierungsstelle signiert dieses Zertifikat mit ihrer einzigartigen, kryptographischen „Digitalsignatur“ und bewahrt einen Eintrag dieses Zertifikats in den Akten auf.

Eine „digital zertifizierte“ Software soll eine Software sein, die von einem seriösen Entwickler produziert wurde und die Standards einer Zertifizierungsstelle erfüllt. Man würde denken, dass es sich als Malware bei dieser neuen Variante von Zeus zweifellos um eine abgelehnte Zertifizierung handelt, und in einer perfekten Welt wäre dies auch so. Die Zertifizierungsstelle ist ein wachsendes Geschäftsfeld und dennoch verbreiten viele der größten Anbieter ihre Zertifikate über Händler. Als Folge davon sickern gelegentlich auch Zertifikate durch, weil es nahezu unmöglich ist, das Verhalten aller Händler zu überwachen. Tatsächlich werden im Malware-Land regelmäßig digitale Zertifikate gekauft und verkauft, und deren Anwendung für Malware ist leider nichts Neues. Dass eine neue Variante des Zeus ein solches Zertifikat verwendet, ist daher keine Überraschung. Für das ungeschulte Auge kann dies aber irreführend sein.

Für den normalen Nutzer,der kein umfassendes Anti-Malware-Programm aktiv hat, ist das Hinzufügen eines echten digitalen Zertifikats zu einem bösartigen Programm wie ein Fake-Personalausweis. Stellen Sie sich vor, Ihr Computer ist eine Party und Sie sind der Türsteher. Nun erweckt ein neues Internet Explorer-Dokument auf Ihrem Desktop Verdacht, also fragen Sie nach der Identifikation. Ihre Skepsis führt Sie zu einem Rechtsklick > Eigenschaften > Digitale Zertifikate und voilà: Das Dokument ist von einer zuverlässigen Zertifizierungsstelle zertifiziert. Kombiniert mit der Neugierde auf das Neue und Mysteriöse auf dem Desktop können selbst Computererfahrene in die Versuchung geraten, das Icon doppelzuklicken.

Woher der Autor dieser speziellen Zeus-Variante das betrügerische Zertifikat hat, kann nur spekuliert werden. Am wichtigsten ist es zu realisieren, dass dies eine häufige Social-Engineering-Taktik ist, und dass es zur Verhinderung von Malware-Infektionen einfach nicht ausreicht, sich auf digitale Zertifikate zu verlassen.

Ein bisschen mehr zur Verschlüsselung: Man-in-the-Middle-Angriffe

Mehrere Varianten von Zeus hatten Erfolg, da sie sich Man-in-the-Middle-Angriffe zu Nutze machten. Wie ein digitales Zertifikat, steht auch ein Man-in-the-Middle-Angriff im Zusammenhang mit Kryptographie. Dies ist ein hochtechnischer Bereich, aber in ihrer Basis beruht Kryptographie auf Schlüsselpaaren und ist tatsächlich nicht wirklich schwer zu verstehen.

Sagen wir zum Beispiel, dass Sie online eine sichere, verschlüsselte Transaktion mit Ihrer Bank durchführen wollen. Ihre Bank sendet Ihnen einen öffentlichen Schlüssel, um alle Daten zu verschlüsseln, die Sie während der Transaktion an die Bank übertragen. Ein öffentlicher Schlüssel ist im Wesentlichen ein Schloss, das nur von der Person geöffnet werden kann, die den passenden privaten Schlüssel besitzt.

Der Diebstahl eines privaten Schlüssels von einer Bank wäre ein ziemliches Kunststück, deshalb nutzen Malware-Autoren eben Man-in-the-Middle-Angriffe. Malware wie Zeus ist so konzipiert, dass sie „aufwacht“, wenn ein infizierter Benutzer die Kommunikation zu seiner Banking-Website aufnimmt und einen öffentlichen Schlüssel zur Datenverschlüsselung anfordert. Zeus wurde so entwickelt, dass diese Anfrage abgefangen und dem Benutzer stattdessen ein gefakter öffentlicher Schlüssel gesendet wird. Wenn der Benutzer also die vermeintlich verschlüsselten Informationen an die Bank sendet, überträgt er tatsächlich verschlüsselte Informationen an den Angreifer. Der Angreifer, der seinen eigenen öffentlichen Schlüssel verwendet, kann ihn mit diesem passenden privaten Schlüssel öffnen und hineinsehen.

Schützen Sie sich vor Zeus, ob er zertifiziert ist oder nicht

Ein Großteil der Presse fokussierte sich bei dieser neuesten Variante von Zeus auf sein legitimes digitales Zertifikat und darauf, wie dieses die Umgehung von Antivirus-Software erlaubte. Zertifiziert oder nicht, erkennt Emsisoft Anti-Malware die Zbot/Zeus-Familie als Trojan.Win32.Zbot.

Zusätzlich sollten Benutzer bei jeglichen mysteriösen Desktop-Icons und unaufgeforderten Banking-E-Mails mit Anhängen und Links extrem vorsichtig sein. Wenn Sie sich Sorgen machen, Opfer dieses neuen Exploits geworden zu sein, zögern Sie nicht, unsere Experten im Emsisoft-Forum Hilfe, mein PC ist infiziert! zu kontaktieren. Unser Entfernungsservice ist kostenlos, auch wenn Sie noch kein Emsisoft-Kunde sind.

Nun, da Sie etwas mehr über Kryptographie wissen, möchten wir Ihnen auch unseren jüngsten Post zum OpenSSL Heartbleed Bug ans Herz legen. Forscher haben eine riesige Sicherheitslücke entdeckt, die es jedem Internetnutzer ermöglicht, auf OpenSSL-gesicherte Server zuzugreifen und verschlüsselte Informationen zu stehlen, einschließlich privater Schlüssel. Dieser Bug blieb 2 Jahre lang unentdeckt und es kann gut sein, dass dieser die Open Source-Verschlüsselungstechnologie für immer verändert.

Wir wünschen Ihnen einen schönen (Zeus-freien) Tag!

Senan Conrad

Weitere Artikel