Zertifizierter Online-Banking-Trojaner

Der AV-Hersteller Eset hat eine Reihe von Trojanern entdeckt, die mit einem gültigen Zertifikat signiert waren. Das hat der Zertifikatsherausgeber DigiCert ausgestellt – und zwar einer Firma, die es schon lang nicht mehr gibt.

In Pocket speichern vorlesen Druckansicht 121 Kommentare lesen
Lesezeit: 2 Min.

Jean-Ian Boutin vom Antivirus-Hersteller Eset hat Trojaner entdeckt, die eine gültige digitale Signatur tragen. Damit schlüpfen die Online-Banking-Spione bei oberflächlichen Checks unter Umständen als harmlos durch. Das verwendete Code-Signing-Zertifikat hat offenbar der Zertifikatsherausgeber DigiCert ausgestellt – und zwar einer Firma, die es schon lang nicht mehr gibt.

Eine gültige Unterschrift der Firma "NS Autos" bestätigte deren Urheberschaft bei einer Reihe von Programmen, die sich bei genauer Analyse als Trojaner entpuppten – zumindest einige davon spezialisiert auf Online-Banking-Betrug. Eine Firma mit dem Namen NS Autos gab es zwar durchaus – allerdings wurde sie 2011 aufgelöst. Das hinderte den Zertifikatsherausgeber DigiCert offenbar nicht daran, ihr am 19. November 2012 ein gültiges Zertifikat für das Unterschreiben von ausführbaren Programmen auszustellen. Erst nach der Benachrichtigung durch Eset wurde das Zertifikat widerrufen.

Die Meldungen der User Account Control (UAC) fallen weniger alarmierend aus, wenn der Herausgeber eines Programms bekannt ist.

(Bild: Eset)

Grundsätzlich sagt das Vorhandensein einer digitalen Signatur nichts über dessen Sicherheit aus. Trotzdem gilt die digitale Unterschrift oft als Voraussetzung für bestimmte, potentiell gefährliche Aktivitäten. Außerdem fallen viele Warnungen weniger alarmierend aus, wenn der vermeintliche Herausgeber bekannt ist. Und schließlich ist es durchaus üblich, etwa bei der mühsamen, händischen Kontrolle eines möglicherweise infizierten PCs, die digital signierten Programme zumindest anfänglich erst einmal auszuklammern.

Die Zeit, zu der man sich darauf verlassen konnte, dass digital signierte Programme schon "irgendwie okay" seien, ist also definitiv vorbei. Es stellt sich die Frage, ob nicht irgendwann die Zeit vorbei sein sollte, in der man Zertifikatsherausgebern noch vertraut, dass sie die Identität hinter einem Zertifikat ausreichend prüfen. Immerhin hat DigiCert erst kürzlich auch einer Scheinfirma in Brasilien ein gültiges Zertifikat ausgestellt. (ju)