Es ist unklar, wie die Angreifer überhaupt an die gültige Treibersignatur von Microsoft kamen.

Foto: Reuters/Dado Ruvic

Es ist eigentlich der Worst Case für einen von Microsoft implementierten Schutzmechanismus für seine Windows-Systeme. Cyberkriminellen ist es gelungen eine mächtige Malware, die umfangreiche Werkzeuge besitzt, sich tief ins System einnistet und schwer zu entdecken und entfernen ist, mit einer gültigen Treibersignatur des Redmonder Konzerns auszustatten. Das berichten Experten des Sicherheitsunternehmens Bitdefender.

Die "FiveSys" getaufte Schadsoftwarre, es handelt sich um ein sogenanntes "Rootkit", üblicher Sicherheitsbeschränkungen auf seinen Systemen zu umgehen. Installiert man auf Windows einen Treiber, so prüft das System, ob dieser eine über eine via WHQL-Prüfverfahren ausgestellte, gültige Signatur verfügt. Das ist wichtig, da Treiber oft weitreichende Rechte benötigen und so sicher gestellt werden soll, dass es sich um geprüfte und ungefährliche Software handelt.

Offene Fragen

Mithilfe des Microsoft-Zertifikats konnte FiveSys Sicherheitsschranken einfach umgehen und sich volle Kontrolle über betroffene Systeme sichern. Es ist unklar, wie sich der Schädling verbreitet, die gängige Annahme ist, dass sie als Beifracht zu illegalen Softwaredownloads inkludiert wird. Ebenso bleibt auch noch herauszufinden, wie seine Macher an die gültige Signatur gekommen sind.

Ist FiveSys einmal am System, so installiert es ein eigenes Rootzertifikat. Dieses verhindert, dass die Browser des Nutzers vor der vorgenommenen Umleitung des Internetverkehrs warnen. Offenbar sind aktuell Spieler von Onlinegames in China das bevorzugte Ziel der Betrüger, die wahrscheinlich auch von der Volksrepublik aus operieren. Sie versuchen, Ingame-Transaktionen zu manipulieren und Logindaten zu stehlen. Die Angriffe begannen bereits Ende 2020 und nahmen über den Verlauf des aktuellen Jahres massiv zu.

Die einfachste und wirkungsvollste Maßnahme, um sich vor einer Infektion mit FiveSys zu schützen liegt auf der Hand. Man sollte nach Möglichkeit keine Applikationen und Games aus dubiosen Quellen herunterladen. (red, 23.10.2021)