Werbe-Trojaner mit Schweizer Segen

Der Trojaner Mediyes wurde mit dem gültigen Zertifikat einer Schweizer Firma signiert. Er ist auch in Deutschland verbreitet.

In Pocket speichern vorlesen Druckansicht 116 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Ein Trojaner namens Mediyes kursiert derzeit auch in Deutschland. Das Besondere: Er wurde mit einem gültigen privaten Schlüssel der Schweizer Conpavi AG signiert, wie Kaspersky berichtet. Conpavi wirbt damit, beratend für E-Government-Projekte tätig zu sein, unter anderem für die Stadt Luzern.

Kaspersky hat mehrere Versionen des Droppers gesichtet, die zwischen Dezember 2011 und dem 7. März dieses Jahres von Conpavi signiert wurden. DIes deutet darauf hin, dass die Kriminellen über eine längeren Zeitraum auf den privaten Schlüssel des Unternehmens zugreifen konnten. Der private Schlüssel wurde von einer VeriSign-Zertifizierungsstelle ausgestellt, die die meisten Betriebssysteme als vertrauenswürdig einstufen.

Vertrauen zahlt sich nicht immer aus. Diese Malware wurde mit einem gütligen Zertifikat signiert.

(Bild: Kaspersky Labs)

Die verbreitete Malware klinkt sich auf dem infizierten System in den Browser ein, um fortan unsichtbar sämtliche Suchmaschinen-Anfrage abzufangen und an den Server eines Anzeigennetzwerks weiterzuleiten. Der Server, der sich nach Angaben von Kaspersky in Deutschland befindet, liefert Links des Partnerprogramms Search123 zurück. Diese Links besucht Mediyes selbstständig, um Geld in die Taschen der Kriminellen zu spülen. Signiert war nur der Dropper, die 32- oder 64-bittige Payload war unsigniert.

Unklar ist derzeit noch, wie es dazu kommen konnte, dass die Malware mit dem privaten Schlüssel des Unternehmens signiert wurde. Für heise Security war die Conpavi AG am heutigen Montagmorgen telefonisch nicht erreichbar. Wir wurden lediglich mit dem Hinweis abgespeist, dass "gerade niemand da" sei und wir es in drei bis vier Wochen erneut versuchen sollen.

Kaspersky hat sich bereits mit VeriSign in Verbindung gesetzt, damit der Schlüssel zurückgezogen und auf die Revocation-Liste gesetzt wird. Entscheidend hierbei ist, dass auch das passende Revocation Date angegeben wird, damit auch die Zertifikate, die in der Vergangenheit mit dem privaten Schlüssel erstellt wurden, rückwirkend für ungültig erklärt werden.

Mediyes ist kein Einzelfall. Die Antivirenhersteller stoßen immer häufer auf Malware, die mit einem gültigen Zertifikat signiert wurde. So hat etwa F-Secure vor geraumer Zeit bekannt gegeben, insgesamt 24.000 Exemplare digital signierter Malware identifiziert zu haben. Das prominenteste Beispiel hierfür ist Stuxnet, das für einen gezielten Angriff auf eine Urananreicherungsanlage im Iran entwickelt wurde. (rei)