Malvertising-Kampagne nutzt kostenlose Zertifikate von Let’s Encrypt

Cyberkriminelle haben kostenlose Zertifikate der Initiative Let’s Encrypt für eine Malvertising-Kampagne benutzt, um Schadsoftware zu verteilen. Wie Trend Micro berichtet, kompromittierten die Verbrecher eine legitime Website und richteten eine Subdomain dazu ein. Letztere versahen sie mit einem Zertifikat von Let’s Encrypt, um den Anschein zu erwecken, dass es sich um eine seriöse Website handelt.

Die Subdomain wiederum enthielt speziell präparierte Anzeigen, die Besucher auf Seiten weiterleiteten, die das Exploit-Kit Angler bereithielten. Das wiederum hatte die Aufgabe, eine Banking-Malware einzuschleusen.

Laut Joseph Chen, Fraud Researcher bei Trend Micro, ist es keine Überraschung, dass Internetverbrecher die kostenlose Let’s-Encrypt-Zertifikate für ihre Zwecke einsetzen. Die Verschlüsselung des Traffics einer schädlichen Website per sicherem HTTP (HTTPS) helfe, die Aktivitäten von Cyberkriminellen zu verschleiern.

Computerworld weist darauf hin, dass Let’s Encrypt entschieden hat, die fraglichen Zertifikate nicht für ungültig zu erklären. Schon im Oktober habe die von Mozilla, Cisco, Akamai und der Electronic Frontier Foundation unterstützte Initiative erklärt, dass Zertifizierungsstellen (Certificate Authority, CA) nicht berechtigt seien, Inhalte zu überwachen. Let’s Encrypt prüfe jedoch mithilfe von Googles Safe Browsing API, ob eine Domain, für die ein Zertifikat angefragt wurde, als gefährlich eingestuft sei.

Chen kritisiert nun in seinem Blogeintrag diesen Ansatz. „CAs sollten bereit sein, an illegale Partner ausgestellte Zertifikate zu widerrufen, die von verschiedenen Bösewichten missbraucht wurden“, schreibt Chen.

Josh Aas, Executive Director der Internet Security Research Group, die das Project Let’s Encrypt betreibt, hält das Sperren von Zertifikaten jedoch für wirkungslos. „CAs können nicht schnell genug reagieren“, zitiert Computerworld aus einer E-Mail von Aas. Die Angreifer seien jederzeit in der Lage, neue Zertifikate für andere Domains zu beantragen, was eine Certificate Authority nur schwer stoppen könne. Vielmehr sollten die Anbieter von Online-Werbung interne Kontrollen einführen, um schädliche Anzeigen aufzuhalten.

Der Branche für Online-Werbung ist das Problem dem Bericht zufolge ebenfalls bekannt. Cyberkriminelle hätten aber auch hier Wege gefunden, die Kontrollen zu umgehen und manipulierte Anzeigen in die Werbenetzwerke einzuschleusen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de