Ihre Sicherheit ist unsere Mission

Home / News / Signierte Malware

Wenn Malware sich als sicher tarnt

Wie heise online meldet sollen Kriminelle in Brasilien gültige Zertifikate erworben haben, um damit Malware zu signieren. Mit Bezug auf Malwarebytes wird berichtet, die neue Methode sei aufgeflogen, als damit ein Banking-Trojaner und ein weiteres Schadprogramm signiert und in Umlauf gebracht wurden. Die Gültigkeit des Zertifikats ist mittlerweile widerrufen worden.

Auf heise online heisst es: "Der Trojaner, der mit dem erschlichenen Zertifikat signiert wurde, verschickt sich per E-Mail mit einer ausführbaren Datei im Anhang, die sich als PDF tarnt. Wird das "PDF" geöffnet, installiert sich die Schadsoftware und lädt weitere Payloads nach, die Bankdaten und Passwörter abgreifen."

Die itWatch Enterprise Security bietet wirksamen Schutz:

Mit ApplicationWatch lassen sich alle Applikationen im Netz monitoren und kontrollieren, wahlweise nach White-List oder Black-List Verfahren. Werden nur bereits bekannte Anwendungen zugelassen, so hat selbst "zertifizierte" Schadsoftware keine Chance. Mit XRayWatch lassen sich die Dateizugriffe punktgenau steuern. Dabei werden die Inhalte der Datei geprüft, damit ein PDF beispielsweise nur dann geöffnet werden kann, wenn es wirklich ein PDF ist (und zusätzlich z.B. keinen aktiven Code enthält) und nicht etwa eine umbenannte, ausführbare Datei, die sich nur als PDF tarnt.

Aber selbst wenn sich die Anwendung nicht tarnen sollte, ist immer noch nicht klar, ob sie möglicherweise gefährlich ist. ReCAppS ermöglicht das automatische Auslagern und Ausführen von Executables in einer virtuellen Umgebung hinter einer Firewall oder in der Cloud. Darüberhinaus ist die Verarbeitung oder Ansicht kritischer Daten möglich, die auf den Client importiert werden sollen.