MSI RTX-Steam-On

ShadowHammer: Neben ASUS auch Spiele-Entwickler mit Malware infiziert

Meldung von doelf, Mittwoch der 24.04.2019, 17:20:07 Uhr

Die Sicherheitsforscher von Kaspersky Lab haben ein Update zu den ShadowHammer-Angriffen der vergangenen Monate veröffentlicht: Offenbar wurde nicht nur das Tool ASUS Live Update des Computerherstellers ASUS gegen eine infizierte Version ausgetauscht, sondern auch die offiziellen Downloads von Computerspielen wie "Infestation: Survivor Stories" und "Point Blank".

Sechs weitere Opfer aus Thailand und Südkorea
Wie Kaspersky Lab berichtet, fanden sich sehr ähnliche Algorithmen in den Spielen von drei asiatischen Entwicklern. Betroffen waren demnach die Firmen "Electronics Extreme" und "Innovative Extremist" aus Thailand sowie Zepetto aus Südkorea. Von "Electronics Extreme" stammt der Survival-Horror "Infestation: Survivor Stories" (vormals "The War Z") und von Zepetto der Taktik-Shooter "Point Blank", der zuweilen auch unter dem Namen "Piercing Blow" bekannt war. Auch "Innovative Extremist" sei im Bereich der Spieleentwicklung tätig gewesen, lassen die Sicherheitsforscher wissen, primär habe das Unternehmen aber Web- und IT-Infrastrukturdienste angeboten. Dazu gäbe es drei weitere Opfer aus Südkorea: Einen weiteren Spieleentwickler, eine Mischkonzern-Holding und ein Pharmaunternehmen. Über diese Opfer will Kaspersky Lab aber noch keine Details bekannt geben.

Signierte Schad-Software aus vertrauenswürdiger Quelle
Wie schon bei ASUS handelt es sich auch hier um einen Supply-Chain-Angriff: Den Angreifern ist es gelungen, den Quellcode oder die Entwicklungswerkzeuge der Software-Firmen zu manipulieren. Als diese dann Installationsversionen ihrer Spiele und Programme erstellten und signierten, war der Schadcode bereits an Bord. Für Kunden ist das ein gewaltiges Problem, schließlich laden sie die infizierte Software direkt beim Hersteller und damit von einer vertrauenswürdigen Quelle herunter. Auch die Sicherheitsmechanismen des Betriebssystems werden ausgehebelt, da die Programme ein gültiges Zertifikat besitzen und der Entwickler bekannt ist. Kaspersky Lab hält es daher für unabdingbar, dass die bereits signierte Software vor der Freigabe auf mögliche Malware-Injektionen untersucht wird.

Wie der Schadcode in die Software kam
Die Malware-Injektionen erfolgte über eine manipulierte Version des Programms link.exe, welches zu Microsofts Visual Studio gehört. Dieses Programm lädt eine bösartige Bibliothek (.DLL) nach, welche sich in die Operation "Datei öffnen" einhängt. Sobald eine häufig genutzte Laufzeitbibliothek von C++ geladen werden soll, wird dieser Zugriff auf eine bösartige .LIB-Datei umgeleitet. Statt der Original-Bibliothek ist nun der Schadcode mit dem erstellten Programm verknüpft. Nun stellt sich die Frage, wie die Angreifer die veränderte link.exe einschleusen konnten. Hatten sie einen Rechner der Entwickler gehackt oder hatten diese möglicherweise Raubkopien statt legaler Lizenzen genutzt? Letzteres wäre nicht nur illegal, sondern auch grob fahrlässig. Kaspersky Lab erklärt, man habe diese Frage noch nicht abschließend klären können.

Wie der Schadcode funktioniert
Der Schadcode, welcher sich in den Computerspielen findet, prüft zunächst, ob er über administrative Rechte verfügt und ob sich ein bestimmter Schlüssel in der Registrierungsdatei befindet. Falls dieser Schlüssel existiert und sein Wert nicht gleich Null ist, startet ein neuer Prozess. Dieser sucht nach unerwünschten Prozessen (wireshark.exe, perfmon.exe, procmon64.exe, procmon.exe, procexp.exe, procexp64.exe, netmon.exe) und gleicht die gewählte Sprache der Installation ab. Läuft ein Prozess, der den Angriff auffliegen lassen könnte, kommt es zum Abbruch. Gleiches geschieht, wenn Russisch oder Chinesisch als Systemsprache gesetzt sind. Gibt es keinen Grund für einen Abbruch, werden Daten über das System gesammelt und per HTTP an einen Kontrollserver übermittelt. Über diesen kann auch zusätzlicher Schadcode nachgeladen und installiert werden.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]