Ein Artikel in heise-security beschäftigt sich mit einem Malware Angriff im Kontext der Firma IObit.
Das Unternehmen stellt diverse Tools zur Verfügung und angeblich sollte es nun eine “Gratis-Lizenz” geben.
Das ist wohl eine der ältesten Maschen, um Malware zu verbreiten – auf die “Geiz ist Geil” Mentalität kann man sich eben verlassen.
Für mich ist es wieder einmal ein kleiner Satz, der mich aufhorchen lässt:
Der perfide an der Masche ist aber nicht die im Namen von IObit verfasste und vergleichsweise gut gemachte Betrügermail, sondern dass die Malware vom Anbieter signiert ist. Bei ihrem Einbruch ins Forum müssen die Angreifer demzufolge einen Schlüssel zum Signieren von Software von IObit erbeutet haben. Einem Opfer zufolge ist der Virenscanner Windows Defender nicht auf die Datei angesprungen. Das könnte unter anderem an der vertrauenswürdigen Signierung liegen.
(https://www.heise.de/news/Windows-Tool-Forum-IObit-gehackt-Ransomware-jagt-Mitglieder-5033969.html)
Der Ablauf ist ähnlich dem bei Solarwinds – es wird die Software eines Unternehmens in Verbindung mit legitimen Zertifikaten verteilt.
Die Technik der “digitalen Signatur von Software” wenden sehr viele Programmierfirmen an. Auch bei Microsoft ist das Zertifikat einer Datei ein sehr wichtiges Kriterium, welches auch die Sicherheitseinstufung positiv verändert.
Wenn nun immer öfters aber die Zertifikate gestohlen und zum Signieren von Malware missbraucht werden, dann stellt sich sicher bald die Frage, ob diese gelebte Praxis so eine Zukunft hat.
Auch fehlt es an einem Weg, um kompromittierte Zertifikate so zu sperren, dass man die damit versehenen Programme nicht mehr installieren kann.
Aktuell liegt mir leider kein Beispiel für eine manipulierte Datei vor. Gerne hätte ich geprüft, ob das Zertifikat noch gültig ist.
Bei einem anderen Tool dieses Herstellers ergab meine schnelle Prüfung kein Problem.
Gerne würde ich prüfen, ob das gestohlene Zertifikat schon gesperrt ist und welche Auswirkungen das bei einer Installation hätte.