Kasperksy hat vor einer neuen Variante der Malware Destover gewarnt. Trojaner dieser Familie wurden demnach schon mehrfach für zielgerichtet Angriffe benutzt, zuletzt laut Kaspersky auch für die Attacke auf Sony Pictures . Die neue Variante besitzt nun ein gültiges Zertifikat von Sony .
Die Datei wurde einer Analyse von Kaspersky zufolge im Juli 2014 kompiliert und war seitdem ohne Zertifikat im Umlauf. Das digitale Zertifikat nutze der Trojaner erst seit dem 5. Dezember.
An den Funktionen des Schädlings hat sich jedoch nichts geändert. Er beinhaltet eine Hintertür und nimmt abwechselnd Kontakt auf zu zwei Befehlsservern in den Vereinigten Staaten und Thailand.
„Was bedeutet das nun? Die gestohlenen Sony-Zertifikate können benutzt werden, um weitere Schadsoftware zu signieren. Die kann im Gegenzug für weitere Angriffe eingesetzt werden“, heißt es in einem Blogeintrag des Global Research and Analysis Team von Kaspersky Lab. „Da Sicherheitslösungen den digitalen Sony-Zertifikaten vertrauen, werden die Angriffe effektiver.“ Schon früher sei signierte Malware benutzt worden, um weiße Listen für Software zu umgehen und Sicherheitsrichtlinien auszuhebeln.
Kaspersky hat die entwendeten Zertifikate nach eigenen Angaben bereits den Zertifizierungsstellen Comodo und Digicert gemeldet. „‚Wir hoffen, dass sie schon bald gesperrt werden.“
Bisher wurde die digital signierte Destover-Variante laut Kasperky allerdings noch nicht für Angriffe eingesetzt. Das vorliegende Muster sei an einen Online-Malware-Scanner übermittelt worden. „Die Existenz des Musters zeigt jedoch, dass der private Schlüssel öffentlich ist. In dem Moment wussten wir, dass wir es mit einer sehr gefährlichen Situation zu tun haben, egal wer für die Signierung der Malware verantwortlich ist.“
Medienberichten zufolge war die Signierung von Destover mit dem Sony-Zertifikat „nur ein Scherz zwischen Forschern“. Unter anderem sollte damit erreicht werden, dass den Zertifikaten das Vertrauen entzogen wird.
Kaspersky zufolge ist jedoch die Zahl der gestohlenen Zertifikatsdateien unbekannt. „Bisher wurden Dutzende PFX-Dateien veröffentlicht“, schreibt Kaspersky in einem Nachtrag zu seinem Blogeintrag. „PFX-Dateien beinhalten den benötigten privaten Schlüssel und das Zertifikat. Solche Dateien sind passwortgeschützt, aber die Passwörter können erraten oder geknackt werde.“ Die Rücknahme der betroffenen Zertifikate habe nun oberste Priorität.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de