Microsoft gibt bekannt, dass es einen „Malware-Signing-as-a-Service“ (MSaaS) namens „Fox Tempest“ zerschlagen hat, der Cyberkriminellen dabei half, Malware als legitim erscheinen zu lassen.
Über diesen Dienst konnten Kunden schädliche Dateien einreichen, die mit kurzlebigen, von Microsoft ausgestellten Zertifikaten digital signiert wurden, wodurch die Malware legitim wirkte und Sicherheitsprüfungen leichter umgehen konnte.
Der Dienst von Fox Tempest basierte auf einem kundenorientierten Signatur-Workflow, bei dem Cyberkriminelle schädliche Binärdateien auf ein Portal hochladen, diese mit Zertifikaten signieren lassen konnten, die nur 72 Stunden lang gültig waren, und anschließend Dateien erhielten, die den Anschein erweckten, von einer vertrauenswürdigen Softwarequelle zu stammen.
Microsoft erklärt ausdrücklich, dass dieser Ansatz es Malware ermöglichte, Sicherheitskontrollen zu umgehen und Abwehrmechanismen zu überlisten, die andernfalls verdächtigen, nicht signierten Code als solchen kennzeichnen würden. Viele Sicherheitstools stufen signierte Binärdateien als vertrauenswürdiger ein als nicht signierte, insbesondere in Umgebungen, die auf Whitelists und der Reputation des Herausgebers basieren. Fox Tempest nutzte diese Annahme aus, indem es betrügerisch erlangte Zertifikate einsetzte, um Malware als legitime Software tarnen zu lassen, wodurch die Wahrscheinlichkeit ihrer Ausführung und erfolgreichen Auslieferung erhöht wurde.
Ein vertrauenswürdig wirkendes Zertifikat kann Malware dabei helfen, die erste Überprüfung zu umgehen, insbesondere in Kombination mit Social Engineering, bezahlten Anzeigen, SEO-Poisoning oder gefälschten Download-Seiten. In dieser Kampagne ermöglichte es die Signatur-Ebene bösartigen Installationsprogrammen, sich als Produkte wie AnyDesk, Teams, PuTTY und Webex auszugeben – genau die Art von Missbrauch, die Kontrollmechanismen, die auf Reputation und Vertrauen basieren, durchschlüpfen kann.
Die gefälschten Zertifikate wurden zur Verbreitung von Ransomware und Infostealern genutzt. Die Auswirkungen dieser Malware-Kampagnen waren weitreichend: Die Angriffe betrafen das Gesundheitswesen, das Bildungswesen, Behörden und Finanzdienstleister in zahlreichen Ländern.
Wie man sicher bleibt
Die Enthüllungen von Microsoft zeigen, wie sich die Cyberkriminalität über die „Malware-Autoren“ hinaus zu einer Dienstleistungswirtschaft entwickelt hat, in der sich die eine Gruppe auf die Schaffung von Vertrauen spezialisiert hat und andere dieses Vertrauen zu Geld machen.
Für Sicherheitsverantwortliche lautet die wichtigste Erkenntnis, dass man die Code-Signierung nicht als eigenständige Sicherheitsmaßnahme betrachten sollte.
Für Verbraucher:
- Denken Sie daran, Software nur von der offiziellen Website des Anbieters, dem Microsoft Store oder einer anderen Quelle herunterzuladen, der Sie bereits vertrauen. Vermeiden Sie Download-Schaltflächen in Links, die über Social-Media-Beiträge, Direktnachrichten oder E-Mails versendet werden.
- Seien Sie skeptisch gegenüber „gesponserten“ Suchergebnissen und Werbeanzeigen für beliebte Apps.
- Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung, die nach schädlichem Verhalten sucht und sich nicht nur auf Signaturen stützt.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
