Im März 2025 erregte das vermehrte Auftreten einer Schadsoftware die Aufmerksamkeit mehrerer Malware-Analysten. Die Tatsache, dass es mehrere Tausend Fälle von Malwarebefall dieser Art in der Woche gab, machte neugierig und es erfolgte eine eingehende Analyse bei G DATA. Die gefundene Malware basierte auf einer legitimen Remote-Steuerungssoftware des Herstellers ConnectWise. Die meisten Sicherheitslösungen waren nicht in der Lage, die getarnte Malware zu entdecken. Die letztlich bösartigen Programme steckten in einer Installatonsdatei, die mit einem gültigen Zertifikat – dem von ConnectWise - signiert waren.
Canva, OneDrive, Dropbox und Co.
In mindestens einem Fall konnte eine Schadsoftware-Infektion zu einer Phishing-Email zurückverfolgt werden. In der Nachricht gab es einen Link, der beim Klicken auf eine Canva-Seite führte, auf der wiederum eine „PDF anzeigen“-Schaltfläche prangte. Wer auf diese Schaltfläche klickte, fing sich einen manipulierten ConnectWise-Installer ein.
Einmal gestartet, berichteten Betroffene davon, dass sich der Mauszeiger selbständig zu bewegen begann. Aber auch Meldungen über vermeintliche Windows-Updates erschienen unvermittelt auf dem Bildschirm.
Ausgehöhlte Signatur
Doch wie kann eine legitime Software auf diese Weise missbraucht werden? Das Zauberwort heißt „Authenticode Stuffing“. Dabei machen sich Kriminelle ein Datenfeld zunutze, das eigentlich nur für die Speicherung von Informationen gedacht war. Was in diesem Feld eingetragen wird, soll eigentlich nicht das Verhalten der Datei ändern und beeinflusst auch nicht die Gültigkeit der Signatur. Normalerweise werden dort nur Zeitstempel eingetragen.
Softwareentwickler und auch Kriminelle nutzen dieses Feld allerdings, um Konfigurationsdaten dort zu hinterlegen, welche das Verhalten der eigentlichen Applikation komplett ändern kann. Von Startoptionen über Downloadlinks lässt sich an dieser Stelle alles hineinschreiben. Damit verliert eine Signatur aber effektiv ihre Aussagekraft; diesesoll eigentlich anzeigen, dass die Datei von einem bestimmten Anbieter stammt, und vor allem nicht nachträglich verändert wurde. Deshalb ist eine gültige Signatur eines vertrauenswürdigen Unternehmens auch ein starkes Kriterium für die Gutartigkeit einer Anwendung. Eine ungültige oder widerrufene Signatur kann hingegen auf das Gegenteil hindeuten.
Gefährliche Gewohnheit
Die Authenticode-Felder für andere Dinge zu verwenden ist üblich, auch wenn etwa Microsoft diese lediglich duldet. Doch es gibt klare Grenzen, die gängiges Verhalten und gefährliches Verhalten voneinander abgrenzen. Hier liegt auch der Kern der Kritik an ConnectWise, die Konfigurationsdaten für ihre Fernwartungssoftware in diesem Bereich ablegen. Kriminelle haben damit die Möglichkeit, ihren eigenen Zugang in ein System zu legen, und das unter dem Schutz einer korrekt signierten und an sich legitimen Anwendung.
Was die legitime und die kriminelle Verwendung voneinander unterscheidet, ist die Konfiguration. Und diese Konfiguration in einem Bereich abzulegen, der nicht nur zugänglich ist, sondern auch die Gültigkeit der Signatur nicht beeinflusst, ist extrem gefährlich.
Immerhin:
Connectwise hat nach Kontaktaufnahme durch G DATA die fragliche Signatur widerrufen und damit ungültig gemacht. Eine offizielle Stellungnahme gibt es jedoch nicht.
Alle Details zu dem vorliegenden Fall finden sich in der vollständigen Analyse, nachzulesen in unserem englischsprachigen Blog.
