Erste Malvertising-Kampagne mit Let's-Encrypt-Zertifikat
HTTPS-Webseiten wecken Vertrauen. Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen. Nun haben Kriminelle das erste Let's-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.
Online-Gauner waren in der Lage, sich eine Subdomain für eine legitime Domain einzurichten und dafür erfolgreich ein Let's-Encrypt-Zertifikat zu beantragen, warnt Trend Micro. Die Subdomain soll auf einen Server verweisen, der unter Kontrolle der Kriminellen steht und Werbung mit Schadcode verteilt. Trend Micro will den Namen der betroffenen Domain erst veröffentlichen, wenn die Verantwortlichen das Problem im Griff haben.
Dass Online-Gauner SSL-Zertifikate einsetzen, ist nichts Neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let's Encrypt einsetzen.
Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht.
Opfern Sicherheit vorgaukeln
Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen.
Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen.
In einem Zeitraum von elf Tagen Ende vergangenen Dezember hat Trend Micro zufolge einen Spitzenwert von rund 500.000 Zugriffen verzeichnet. Ziele seien dabei in erster Linie japanische Nutzer gewesen.
CA als Filter für gefährliche Inhalte?
Beantragt ein Admin ein Zertifikat bei Let's Encrpyt, muss er beweisen, dass der Server tatsächlich über die (Sub-) Domain erreichbar ist (Domain Validation), für die das Zertifikat ausgestellt werden soll. Bei diesem Prozess wird der Inhalt der Webseite nicht überprüft.
Let's Encrypt sieht den Aufgabenbereich einer CA nicht darin, Inhalte zu filtern. Dabei verweisen sie in einem Statement auf Unternehmen wie etwa Google und Microsoft, die eine komplexe Infrastruktur zum Aufspüren von gefährlichen Webseiten betreiben.
Davon profitiert auch Let's Encrypt, denn neben der Domain-Validation-Prüfung greift die Zertifizierungsstelle noch auf Googles Safe Browsing API zu, um Webseiten zu überprüfen und im Zweifelsfall kein Zertifikat auszustellen.
Um Missbrauch weiter einzuschränken, setzt Let's Encrypt auf vergleichsweise kurzlebige Zertifikate, die drei Monate lang gültig sind. Mit dem Let's-Encrypt-Client kann ein Admin eine erneute Beantragung und Prüfung automatisieren. (des)
