Trojanisierte Messenger-Apps aus dem Appstore

Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.

In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.

Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.

Der Trojaner im Sprachmodell, der die KI zum lügen bringt

Dass die aktuellen LLM-basierten Chatbots nicht immer die Wahrheit ausgeben, ist hinlänglich bekannt. Es fehlt ihnen einfach das Konzept von richtig und falsch, sodass sie nur die statistisch wahrscheinlichste Antwort ausgeben.

Forscher haben darüber hinaus gezeigt, wie sie ein vorhandenes Sprachmodell so modifizieren konnten, dass es zu bestimmten Fakten überzeugend falsche Informationen ausgibt, gleichzeitig aber weiterhin zu allen anderen Fragen wie zuvor antwortet. Damit konnten sie dann auch Prüftools austricksen, die mit Stichprobenfragen die Qualität von trainierten Sprachmodellen bewerten. In die Malware-Sprache übersetzt: Sie konnten ihr trojanisiertes Sprachmodell am Virenscanner vorbeischmuggeln.

Weitere Sicherheitsaspekte beim Einsatz von KI haben wir in einem eigenen Blogpost zusammengefasst.

Wenn der Patch zum Trojaner wird

Die Desktop-Anwendung des VoIP-Telefonie-Herstellers 3CX wurde Ende März trojanisiert. Der Definition für Malware vom Typ „Trojanisches Pferd“ folgend, tat die Software, was sie eigentlich sollte – brachte aber zusätzliche Schadfunktionen mit. Ein sehr schwacher Trost für die Mehrzahl der Betroffenen mag sein, dass sie nicht das eigentliche Ziel des Angriffs waren. Und obwohl das auf den ersten Blick sehr beruhigend klingen mag, erforderte die Kompromittierung einer Großzahl ihrer Clients auch für diese Betroffenen selbst umfangreiche Maßnahmen, um das Ausmaß des Schadens zu bestimmen und trojanisierte Systeme neu aufzusetzen.

Betroffen sind die Versionen Update 6 und 7 für MacOS sowie Update 7 für Windows. Sie wurden bereits beim Hersteller modifiziert und typischerweise automatisch über die eingebaute Update-Funktion der Desktop-Anwendung installiert. Bereinigte Versionen stehen inzwischen bereit. Alle, für die Patchmanagement nicht nur das schnelle, ungeprüfte Installieren von Updates ist, fühlen sich jetzt sicherlich bestätigt. Das IT-Grundschutz-Kompendium fordert in OPS.1.1.3.A15 auch: „Es MUSS entschieden werden, ob der Patch eingespielt werden soll.“

Aber hätte man die Trojanisierung des Software-Updates auf einem Testsystem erkennen können? Beim Beobachten des Netzwerkverkehrs hätte man zuvor nicht vorhandene Verbindungen bemerken können – allerdings haben die Angreifer dafür extra Domainnamen reserviert, die man leicht einem legitimen Zweck zugeordnet hätte. Man hätte auch über die Art und Weise stolpern können, wie ein Teil der Malware in den DLLs der legitimen Software versteckt wurde: Während der erste Teil (der Loader) vom Hersteller unwissentlich direkt in eine DLL-Datei einkompiliert war, wurde der zweite Teil so an eine signierte DLL-Datei angehängt, dass die Authenticode-Signatur weiter gültig ist. Das sich Signaturen so leicht austricksen lassen sollen, klingt nach einem Fehler – und tatsächlich gibt es dagegen bereits seit 2013 einen Patch von Microsoft. Vermutlich ist der Patch auf Ihrem Testsystem aber nicht installiert, denn er wurde kurz nach der Veröffentlichung als „optional“ gekennzeichnet. Zu viele Nutzer meldeten legitime Software, die plötzlich nicht mehr die Signaturprüfung bestand. Auch das ist ein „schwieriger“ Teil des Patchmanagements –die positiven wie negativen Auswirkungen auch von solchen Updates zu prüfen, die der Hersteller nur eingeschränkt empfiehlt.

Mit der Patchmanagement-Brille betrachtet, bleibt als Krux festzuhalten: Ein vom Hersteller empfohlenes Update, das man besser nicht installiert hätte, traf auf ein vom Hersteller nicht uneingeschränkt empfohlenes Update, das man besser installiert hätte.

Hintergrund zum trojanisierten 3CX-Desktop-Client:

Hintergrund zu der manipulierbaren Authenticode-Signatur:

Ganz schön forsch: Security-Researcher im Visier

Googles Abteilung Threat Research Group hat eine Kampagne aufgedeckt, mittels derer ein Geheimdienst versucht hat, Forschungsergebnisse zu Schwachstellen zu stehlen. Dafür wurden eigens Netzwerke aus Trollen und Bots – sogenannten Sock Puppets (Sockenpuppen) – aufgesetzt, die mit den Researchern interagiert haben, um deren Vertrauen zu erschleichen. Sogar Gastartikel von realen Expertinnen und Experten konnten die Fake-Forscher für ihre Blogs, in denen zur Tarnung eigene und niederwertige Fake-Forschung publiziert wurde, gewinnen. Diese „Ergebnisse“ und Kooperationen wurden über eine Vielzahl von Social Media Accounts verbreitet und beworben. Ziel der Kampagne schien nach ersten Analysen, eine trojanisierte VS-Projekt-Datei unterzuschieben, die in einigen Fällen Systeme der Researcher erfolgreich kompromittiert hat. Dies stellte sich allerdings nur als Backup-Angriffsvektor heraus. Die eigentliche Kompromittierung erfolgte via Chrome-0-day in Form eines Drive-By-Exploits, der sich in einem Blog befand, von dem ein PGP-Schlüssel zur Übertragung einiger minderwertiger Lock-Exploits (PoCs) heruntergeladen werden sollte.

Im Netz machte sich darob zunächst vor allem (ironischer) Neid breit von Seiten derer, die die Gauner nicht angesprochen hatten. In Zukunft ist also eine weitere mögliche Schwachstelle besonders zu beachten: die eigene Eitelkeit, wenn Fremde zur Kooperation einladen…

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

Föderalismuskelspiele: Kein Bundestrojaner – sondern 19 Bundländertrojaner

Nicht der gefürchtete „Bundestrojaner“ wird nach langem Ringen voraussichtlich demnächst zum Abhören zugelassen – sondern neben BND, Bundes-Verfassungsschutz und MAD dürfen bald auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten („Quellen-TKÜ“), wenn der Gesetzentwurf der Koalition im Bundestag verabschiedet wird. Die Methode wird von Experten kritisiert, da sie bei den Ämtern das Interesse erhöht, Schwachstellen nicht an die Hersteller zu melden, sondern eher zu horten, um sie für ihre eigenen Abhörtrojaner einsetzen zu können.

https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/

Da ist der Wurm drin: „Wormable“ CVSS-10-Lücke in Microsoft DNS-Server

Für eine maximal kritische Schwachstelle in sämtlichen Windows-Servern von 2003 bis 2019 hat Microsoft zum Patch Day, zusätzlich zum Fix per Update, auch einen Workaround veröffentlicht, der die Sicherheitslücke für nicht zeitnah patchbare Server schließt. Diese Dramatik beruht auf berechtigten 10 von 10 CVSS-Punkten dank des Potenzials zur Weiterverbreitung zwischen Servern ohne jegliche Benutzerinteraktion („Wurm“).

https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Keine Gnade trotz Corona

Obwohl einige Angreifergruppen wie die Drahtzieher des Erpressungs-Trojaners „Maze“ medienwirksam verkündeten, aufgrund der Pandemie keine medizinischen Einrichtungen anzugreifen, wurde das tschechische Krankenhaus mit dem größten Corona-Testlabor des Landes durch einen Cyberangriff vorübergehend lahmgelegt. Patienten mussten verlegt und Operationen abgesagt werden.

https://www.heise.de/security/meldung/Waehrend-Coronavirus-Pandemie-Cyberangriff-legt-tschechisches-Krankenhaus-lahm-4683370.html

https://www.heise.de/newsticker/meldung/Cyber-Erpresser-versprechen-Corona-Pause-fuer-Krankenhaeuser-4686021.html

https://gblogs.cisco.com/de/wie-cyber-kriminelle-die-corona-krise-als-vehikel-nutzen

Auch in Texas wurde eine Klinik von Ransomware getroffen: Die Gruppe „Maze“ droht, über den Schaden der Verschlüsselung hinaus die Daten der behandelten Patienten zu leaken, sollte die Zahlung des Lösegeldes ausbleiben.

https://securityboulevard.com/2020/03/maze-ransomware-continues-to-hit-healthcare-units-amid-coronavirus-covid-19-outbreak/

Trojaner im Gewand von Corona-E-Books

Der Hersteller von Sicherheitssoftware Malwarebytes warnt vor einer gefälschten WHO-E-Mail, in welcher Schadcode in Form eines angeblichen E-Books über Corona versteckt ist. Öffnet man dieses, so folgt die Infektion mit dem Trojaner „FormBook“. Der loggt Tastatureingaben und stiehlt Daten aus dem Windows-Clipboard und Browsern.

https://www.heise.de/security/meldung/Vorsicht-Corona-Phishing-Aktuelle-Mails-setzen-auf-Angst-und-Verunsicherung-4686393.html