Cyber-Angreifer machen Nvdia-Tool zum Komplizen

Bei der Analyse eines gezielten Cyber-Angriffs haben die Virenexperten von Sophos eine ungewöhnliche Beobachtung gemacht: Ein speziell präpariertes RTF-Dokument hat eine Schwachstelle in Word ausgenutzt, um ein Tool aus Nvidias Grafikkartentreibern auf dem Rechner auszuführen. Die ausführbare Datei namens nv.exe ist digital signiert – es handelt sich um das unveränderte Original.

Der Sinn hinter dieser Aktion wurde nach der Analyse der Bilbiothek NvSmartMax.dll klar, die das Word-Dokument ebenso wie die Exe-Datei auf den Rechner kopiert hat: Hier lauert der eigentliche Schadcode, der eine dauerhafte Backdoor einrichtet. Die Schadfunktionen in der Bibliothek wurden von der durch Nvidia signierten Datei nv.exe ausgelöst.

Die Angreifer nutzten aus, dass ausführbare Dateien zunächst in dem Ordner, in dem sie sich befinden, nach Bibliotheken suchen. Das Tool nv.exe versucht also, Funktionen aus seiner DLL zu starten, bedient sich dabei aber eines bösen Zwillings. Durch den Umweg über das signierte Binary versuchen die Angreifer möglicherweise, ihrem Schadcode gegenüber einer potenziell installierten Virenschutzsoftware zu einem besseren Ruf zu verhelfen.

In dem präparierten Word-Dokument befindet sich eine Stellungnahme des Tibetan Youth Congress; einer Nichtregierungsorganisation, die sich für die Unabhängigkeit Tibets einsetzt. Das deutet darauf hin, dass der Cyber-Angriff wieder einmal gegen Pro-Tibet-Gruppen gerichtet war. (rei)