Kaspersky warnt vor mit gestohlenen Sony-Zertifikaten signierter Malware

Kasperksy hat vor einer neuen Variante der Malware Destover gewarnt. Trojaner dieser Familie wurden demnach schon mehrfach für zielgerichtet Angriffe benutzt, zuletzt laut Kaspersky auch für die Attacke auf Sony Pictures. Die neue Variante besitzt nun ein gültiges Zertifikat von Sony.

Die Datei wurde einer Analyse von Kaspersky zufolge im Juli 2014 kompiliert und war seitdem ohne Zertifikat im Umlauf. Das digitale Zertifikat nutze der Trojaner erst seit dem 5. Dezember.

Kaspersky hat vor einer Variante des Trojaners Destover gewarnt, die mit einem digitalen Zertifikat von Sony Pictures signiert wurde (Screenshot: Kaspersky).

An den Funktionen des Schädlings hat sich jedoch nichts geändert. Er beinhaltet eine Hintertür und nimmt abwechselnd Kontakt auf zu zwei Befehlsservern in den Vereinigten Staaten und Thailand.

„Was bedeutet das nun? Die gestohlenen Sony-Zertifikate können benutzt werden, um weitere Schadsoftware zu signieren. Die kann im Gegenzug für weitere Angriffe eingesetzt werden“, heißt es in einem Blogeintrag des Global Research and Analysis Team von Kaspersky Lab. „Da Sicherheitslösungen den digitalen Sony-Zertifikaten vertrauen, werden die Angriffe effektiver.“ Schon früher sei signierte Malware benutzt worden, um weiße Listen für Software zu umgehen und Sicherheitsrichtlinien auszuhebeln.

Kaspersky hat die entwendeten Zertifikate nach eigenen Angaben bereits den Zertifizierungsstellen Comodo und Digicert gemeldet. „‚Wir hoffen, dass sie schon bald gesperrt werden.“

Bisher wurde die digital signierte Destover-Variante laut Kasperky allerdings noch nicht für Angriffe eingesetzt. Das vorliegende Muster sei an einen Online-Malware-Scanner übermittelt worden. „Die Existenz des Musters zeigt jedoch, dass der private Schlüssel öffentlich ist. In dem Moment wussten wir, dass wir es mit einer sehr gefährlichen Situation zu tun haben, egal wer für die Signierung der Malware verantwortlich ist.“

Medienberichten zufolge war die Signierung von Destover mit dem Sony-Zertifikat „nur ein Scherz zwischen Forschern“. Unter anderem sollte damit erreicht werden, dass den Zertifikaten das Vertrauen entzogen wird.

Kaspersky zufolge ist jedoch die Zahl der gestohlenen Zertifikatsdateien unbekannt. „Bisher wurden Dutzende PFX-Dateien veröffentlicht“, schreibt Kaspersky in einem Nachtrag zu seinem Blogeintrag. „PFX-Dateien beinhalten den benötigten privaten Schlüssel und das Zertifikat. Solche Dateien sind passwortgeschützt, aber die Passwörter können erraten oder geknackt werde.“ Die Rücknahme der betroffenen Zertifikate habe nun oberste Priorität.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago