Bitdefender-Analyse zu Metamorfo-Angriffen

Malware-Kampagne nutzt DLL-Hijacking

09. Juni 2020, 08:00 Uhr   |  Anna Molder

Malware-Kampagne nutzt DLL-Hijacking

Bitdefender, Anbieter von Cybersicherheitslösungen, hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten sollen Kriminelle anschließend für Bankbetrug nutzen können.

Die Gruppe hinter den Trojanern heißt in der Branche Metamorfo und konzentriert sich seit 2018 überwiegend auf Brasilien. Metamorfo attackiert mit sehr potenter Malware. Das besonders gefährliche an Metamorfo ist die Angriffstechnik. Die Malware nutzt „Dynamic Link Library“-Hijacking (DLL), um deren Präsenz auf befallenen Systemen zu verbergen und Privilegien zu erhöhen. Beim DLL-Hijacking handele es sich um eine Technik, die es einem Angreifer ermöglicht, die Ausführung von Drittanbietercode in einer Anwendung zu erzwingen, indem der Tausch einer Bibliothek mit einer bösartigen Bibliothek erfolgt.

Laut Bitdefender haben die Angreifer dazu Softwares von fünf bekannten Anbietern ausgewählt, deren Produkte Komponenten aufweisen, die DLL-Dateien laden, ohne sicherzustellen, dass diese geladenen Dateien legitim sind. Sie sollen von Avira, AVG und Avast, Damon Tools, Steam und NVIDIA stammen. Auf diese Weise lud ein vertrauenswürdiger Prozess den schädlichen Code und führte diesen aus. Außerdem konnten dem Sicherheitsanbieter zufolge einige Sicherheitslösungen den bösartigen Code nicht erkennen oder die Kommunikation auf Firewall-Ebene blockieren, da die Whitelist den initiierenden Prozess wohl als vertrauenswürdig aufführte.

Obwohl eine Benachrichtigung der Anbieter der betroffenen Software erfolgte und diese die Schwachstellen behoben haben, sollen Hacker die alten Schwachstellen weiterhin ausnutzen können. Damit wird die Angriffsmethode zu einer reellen Gefahr weltweit. Um Angriffe zu stoppen, müssten die betroffenen Anbieter die anfälligen Komponenten der Softwares beim Hersteller des Betriebssystems auf eine Blacklist setzen lassen. Eine andere Möglichkeit sei, das Zertifikat zu widerrufen, das die betroffenen Komponenten signiert hat.

Weitere Informationen finden Interessierte unter www.bitdefender.de.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

BitDefender GmbH

Malware