ChromeLoader-Kampagne mit Code Signing-Zertifikaten

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Kevin Bocek, Chief Innovation Officer bei Venafi

Die Sicherheitsforscher von HP, HP Wolf Security haben eine groß angelegte ChromeLoader-Kampagne identifiziert. Bei dieser werden gültige Code Signing-Zertifikate verwendet, um Windows-Sicherheitsrichtlinien und Benutzerwarnungen zu umgehen und so die Wahrscheinlichkeit einer erfolgreichen Infektion zu erhöhen. Um die Erkennung der Malware zu erschweren, signierten die Angreifer die Installationsdatei mit gültigen Code Signing-Zertifikaten. Aus diesem Grund wird die Installation weder durch die AppLocker-Sicherheitsrichtlinien (die in Windows integrierte Technologie zum Zulassen von Anwendungen) blockiert, noch wird dem Benutzer eine Warnung angezeigt. Das bedeutet, dass die Code Signing-Zertifikate entweder von legitimen Unternehmen gestohlen wurden oder dass die Angreifer Scheinunternehmen gegründet haben, um gültige Code Signing-Zertifikate für ihre gefälschten PDF-Reader-Websites zu validieren.

Die Kampagne nutzen Malvertising, um die Opfer auf gut gestaltete Websites zu leiten, die scheinbar legitime Tools wie PDF-Reader und Konverter anbieten. Durch den Besuch der infizierten Websites können die Angreifer dann die Browser ihrer Opfer übernehmen und die Suche auf von den Angreifern kontrollierte Websites umleiten. Je nach Zertifikatsaussteller kann der Widerrufsprozess lange dauern, manchmal Monate, was die Malware über lange Zeiträume hinweg gefährlich macht.

Code Signing-Zertifikate sind unglaublich leistungsfähige Maschinenidentitäten, und ihr Missbrauch durch Angreifer ist ein wachsendes Problem. Diese Zertifikate teilen dem Computer mit, dass es sich bei der Software um einen Freund und nicht um einen Feind handelt, sodass sie installiert und ausgeführt werden kann – ohne einen Alarm auszulösen. Normalerweise würde der Computer die Installation blockieren, wenn bösartige Software erkannt wird – mit einem gültigen Zertifikat wird jedoch selbst bösartiger Code als sicher eingestuft. Dies belegt, wie mächtig und gefährlich diese Maschinenidentitäten in den falschen Händen sind. Bösartiger Code, der durch Code Signing unterstützt wird, verhindert, dass nicht genehmigter Code an der Ausführung gestoppt werden kann. Vor dem Hintergrund neuer KI-Angriffsmethoden wird der Missbrauch von Code Signing immer bedeutsamer. Wenn die Zertifikate gestohlen oder durch Täuschung erlangt wurden, können Angreifer sie nutzen, um Malware unter einem vertrauenswürdigen Namen zu verbreiten. Dies ist bereits bei prominenten Fällen wie den Windows Code Signing-Zertifikaten von Nvidia passiert, als die Ladp$u$-Gruppe ähnlich vorging.

Immer mehr Cyberkriminelle haben es auf Maschinenidentitäten abgesehen, weil sie Code, Container und Anwendungen authentifizieren und autorisieren. Die Verbreitung von Cloud-nativen Technologien und Entwickler, die mit KI-gestützten Programmierassistenten arbeiten, führen dazu, dass Maschinenidentitäten wie Code Signing-Zertifikate besser geschützt werden müssen.