Mit gestohlenen Zertifikaten tarnen Entwickler von Schadsoftware ihre Malware, um auf diese Weise die Anwender von der vermeintlichen Seriosität der Software zu überzeugen und um Schutzprogramme zu überlisten.

In der letzten Zeit hatte es Berichte über mehrere erfolgreiche Hacker-Angriffe auf  Zertifikat-Anbieter gegeben und nun tauchen auch vermehrt Schadprograme auf, die mit gestohlenen Zertifikaten signiert sind. Über diesen neuen Trend berichten jetzt die IT-Sicherheitsexperten von F-Secure in ihrem Unternehmensblog.

So entdeckte das Unternehmen kürzlich einen Trojaner, der mit dem Zertifikat einer malayischen Regierungseinrichtung signiert worden war. Dass eine Schadsoftware mit einem Zertifikat versehen werde, sei bereits selten, dass das verwendete Zertifikat jedoch von einer Regierungsstelle komme, sei noch bemerkenswerter, kommentierte Mikko Hypponen, Chief Research Officer bei F-Secure, die Entdeckung.

Signierte Malware noch selten - Der Trojaner verbreitete sich über PDF-Dokumente, die ein Sicherheitsleck im Adobe Reader 8 ausnutzten, um Rechner zu infizieren. Über den Trojaner wurden dann von einem Server weitere Schadprogramme nachgeladen, wobei auch dieser Server durch eine Signatur den Eindruck von Sicherheit und Vertraulichkeit erwecken sollte. Das Vorgehen, schädliche Anwendungen durch gestohlene Zertifikate zu tarnen, ist allerdings nicht ganz neu, bereits vor gut einem Jahr waren erstmals derartige Schädlinge entdeckt worden.

Auch einige Virenschutzprogramme lassen sich täuschen - Durch die Verwendung von Zertifikaten erreichen die Hersteller von Schadprogrammen, dass Windows-Warnhinweise beim Installieren der Software unterbleiben, die ansonsten bei unsignierten Programmen auf diesen Umstand aufmerksam machen.

Aber auch einige Virenschutzprogramme lassen sich von einer Software täuschen, die mit einem gültigen Zertifikat signiert ist. Sie vertrauen auf die Signatur und unterlassen die ansonsten übliche Prüfung auf Schadcode.

Quelle: haufe.de