Startseite > Security > Schutz vor findigen Passwortdieben

Credential Stealer as a Service

Schutz vor findigen Passwortdieben

5. Juli 2022, 7:00 Uhr | Christian Götz/wg

FickerStealer-Post in einem russischen Forum.

In Untergrundforen sind inzwischen auch Credential Stealer im As-a-Service-Modell erhältlich. Selbst weniger begabte Cyberkriminelle können so leicht auf die Jagd nach Anmeldedaten gehen. Vor diesem Hintergrund ist es höchste Zeit für Unternehmen, ihre Benutzer- und Administratorenkonten besser zu schützen.

Mietmodelle sind nicht nur im Bereich kommerzieller Software sehr beliebt, sondern ebenso im Malware-Business. Vor allem Ransomware as a Service hat sich in den vergangenen Jahren für Cyberkriminelle zu einem höchst einträglichen Geschäft entwickelt – sowohl für die Anbieter, die monatliche Gebühren oder sogar Gewinnbeteiligungen kassieren, als auch für deren „Kunden“, die sich die Entwicklung eigener Schadprogramme sparen und dennoch mit ausgereifter Malware große Summen erpressen können. Auch Credential Stealer sind in Untergrundforen mittlerweile meist „as a Service“ im Angebot. Für Angreifer, die es auf Anmeldedaten, Kreditkarteninfos oder die Wallets von Kryptowährungen abgesehen haben, liegen die Einstiegshürden dadurch äußerst niedrig. Gegen eine geringe Gebühr erhalten sie hochspezialisierte Werkzeuge für den Datendiebstahl, die der Anbieter stetig weiterentwickelt, um den neuesten Erkennungsmechanismen zu entgehen oder weitere Datenquellen auszuforschen.

Aus der Masse der Credential Stealer sticht unter anderem FickerStealer hervor. Die Malware punktet bei Cyberkriminellen nicht nur mit ihren niedrigen Kosten zwischen 90 und 900 Dollar, je nach Funktionsumfang und Abolaufzeit. Sie agiert darüber hinaus sehr unauffällig und entzieht sich gekonnt einer Entdeckung. Im Unterschied zu den meisten anderen Passwortdieben lädt FickerStealer zur Laufzeit keine DDLs nach und verzichtet auch darauf, die gestohlen Daten zunächst lokal in einem temporären Ordner zu sammeln und dort zu komprimieren. Stattdessen verschickt die Malware ihre Beute unmittelbar nach dem Diebstahl über einen verschlüsselten Kanal.

Die Security-Basics müssen sitzen

FickerStealer, aber auch weniger raffinierte Credential Stealer stellen für Unternehmen eine große Gefahr dar, öffnen die entwendeten Anmeldedaten den Angreifern doch häufig die Tür zu wertvollen Daten oder weiteren Systemen. Zu den grundlegenden Sicherheitsmaßnahmen sollten daher ein moderner Malware-Schutz und regelmäßiges Patching zählen, um Schadprogramme frühzeitig aufzuspüren und ihnen den Zugriff auf die Credential Stores von Browsern, FTP- und SSH-Clients, Chat-Programmen und anderen Anwendungen zu erschweren. Im Fall von Browsern kann es zudem sinnvoll sein, die Nutzung von Add-ons und Plug-ins einzuschränken, da diese Erweiterungen gerne weitreichende Berechtigungen einfordern und damit die Angriffsfläche erhöhen.

Zusätzlichen Schutz bietet eine Multi-Faktor-Authentifizierung (MFA). Mit MFA sind für den Zugriff auf ein System oder eine Anwendung mehrere Berechtigungsnachweise erforderlich. Neben dem Passwort kann dies ein auf das Smartphone geschickter oder via App generierter Code sein, ein Hardware-Token oder auch ein biometrisches Merkmal wie ein Fingerabdruck. Selbst wenn ein Angreifer in den Besitz des Passworts gelangt, kann er sich nicht anmelden, da ihm mindestens ein weiterer Berechtigungsnachweis fehlt.

Moderne MFA-Lösungen erlauben es, die Abfrage zusätzlicher Authentifizierungsfaktoren kontextbezogen und richtlinienbasiert zuzuschalten – etwa bei Log-ins außerhalb der Geschäftszeiten oder von ungewöhnlichen Orten. Anhand historischer Verhaltensmuster erkennen die Lösungen anormale Zugriffsversuche und ermitteln das Risiko, sodass Unternehmen abhängig von der konkreten Situation entscheiden können, ob eine MFA erforderlich ist oder nicht. Ein solches Vorgehen erhöht die Akzeptanz der MFA, weil sich Beschäftigte nicht bei jeder Anmeldung mit der Abfrage eines weiteren Berechtigungsnachweises konfrontiert sehen. Insbesondere beim Log-in auf dem Endgerät, dem Fernzugriff auf andere Systeme oder dem Aufruf sicherheitskritischer Anwendungen wie PowerShell, die oft Ziel von Malware sind, sollte die MFA jedoch Pflicht sein.