Windows-Nutzer im Visier: Gefälschte Zertifikate umgehen alle Sicherheitssysteme

Cyberkriminelle setzen auf eine perfide neue Masche: Sie missbrauchen vertrauenswürdige digitale Signaturen, um Windows-Nutzer mit scheinbar legitimer Software zu täuschen. Die Angreifer nutzen gefälschte Code-Signierung-Zertifikate, um ihre Malware als vertrauenswürdige Programme zu tarnen – und umgehen damit sogar Microsofts eigene Sicherheitsmechanismen.

Diese Woche schlagen Sicherheitsexperten Alarm wegen einer dramatischen Zunahme solcher Attacken. Die Strategie ist besonders heimtückisch: Kriminelle kapern das Vertrauen, das Windows-Systeme digitalen Zertifikaten entgegenbringen. Signierte Dateien gelten als sicher und werden von Antivirenprogrammen oft weniger streng geprüft.

Microsoft musste bereits über 200 betrügerisch erworbene Zertifikate widerrufen. Die Gruppe “Vanilla Tempest” hatte diese genutzt, um eine manipulierte Version von Microsoft Teams zu verbreiten – als Einfallstor für Ransomware.

Das Grundprinzip der Angriffe ist Social Engineering in Perfektion. Cyberkriminelle erstellen täuschend echte Websites und manipulieren Suchergebnisse, um bei der Google-Suche nach beliebten Programmen ganz oben zu stehen. Wer nach Microsoft Teams, Chrome oder anderen bekannten Tools sucht, landet auf diesen Fake-Portals.

Eine im Oktober entdeckte Kampagne zeigt die Raffinesse der Methoden: Nutzer werden über gefälschte CAPTCHA-Seiten dazu gebracht, schädliche PowerShell-Befehle auszuführen – angeblich zur “Verifizierung”. Diese laden dann ZIP-Archive mit Malware herunter.

Besonders perfide: Die Schadsoftware tarnt sich als echter Installer, entpuppt sich aber als “HijackLoader”. Dieser installiert dann Datendiebe wie “Lumma Stealer” – laut Microsoft den verbreitetsten Infostealer des vergangenen Jahres.

Unsichtbarkeit durch Vertrauen: Wie Zertifikate missbraucht werden

Der Schlüssel zum Erfolg liegt im Missbrauch digitaler Zertifikate. Diese fungieren normalerweise als Gütesiegel: Sie bestätigen, dass Software von einem verifizierten Herausgeber stammt und unverändert ist. Windows-Sicherheitssysteme wie Defender SmartScreen vertrauen signierten Dateien oft blind – manchmal werden sie sogar bei Tiefenscans übersprungen, um Rechenleistung zu sparen.

Kriminelle nutzen verschiedene Wege, um an diese wertvollen Zertifikate zu gelangen. Spezialisierte Gruppen stehlen gültige Zertifikate von Softwareunternehmen und verkaufen sie im Darknet. Andere gründen Scheinfirmen, um die Prüfverfahren der Zertifizierungsstellen zu täuschen.

Vanilla Tempest gelang es, Zertifikate von renommierten Anbietern wie DigiCert, GlobalSign und SSL.com zu erhalten. Sogar Microsofts eigener “Trusted Signing”-Service wurde kompromittiert: Angreifer nutzten ihn, um kurzlebige Drei-Tages-Zertifikate für Malware wie XWorm zu erhalten.

Aktuelle Kampagnen zeigen Professionalität

Die Kombination aus Fake-Installern und signierten Schadprogrammen prägt die moderne Cyberkriminalität. Vanilla Tempest veranschaulicht diese Entwicklung perfekt: Die Gruppe stellte Dateien namens “MSTeamsSetup.exe” auf Domains bereit, die offiziellen Download-Seiten täuschend ähnlich sahen.

Nach der Installation wird eine Backdoor namens “Oyster” aktiviert, die dauerhaften Systemzugriff gewährt – der Grundstein für spätere Ransomware-Angriffe.

Eine weitere Oktober-Kampagne nutzte den “Hijack Loader” über DLL-Side-Loading. Dabei wird eine legitime, signierte Anwendung dazu gebracht, eine schädliche DLL-Datei zu laden. Diese Methode erschwert die Erkennung zusätzlich, da der ursprüngliche Prozess völlig harmlos erscheint.

Vertrauenskrise im digitalen Zeitalter

Der massive Missbrauch von Code-Signierung-Zertifikaten erschüttert ein Grundpfeiler der IT-Sicherheit. “Diese Forschung unterstreicht, dass Malware signiert sein kann. Code-Signaturen allein können daher nicht als Vertrauensindikator dienen”, warnen Forscher der französischen Cybersecurity-Firma HarfangLab.

Diese Entwicklung ist eine direkte Antwort auf verbesserte Sicherheitslösungen. Da Endpoint-Detection-Tools unsignierte, verdächtige Programme besser erkennen, weichen Angreifer auf vertrauenswürdige Validierungsmechanismen aus.

Wie sich Nutzer schützen können

Sicherheitsexperten erwarten eine weitere Eskalation des “Zertifikate-Kriegs”. Als Gegenmaßnahmen empfehlen sie:

• Nur offizielle Quellen: Software ausschließlich von Herstellerwebsites oder App-Stores laden
• Application Whitelisting: Unternehmen sollten nur genehmigte Programme zulassen
• Verhaltensbasierte Erkennung: Sicherheitslösungen, die verdächtige Aktionen identifizieren – unabhängig von Signaturen

Anzeige: Passend zur aktuellen Vertrauenskrise rund um signierte Windows-Software: Wenn Sie eine sichere Alternative ausprobieren möchten, testen Sie Linux (Ubuntu) einfach parallel zu Windows – ohne Risiko und ohne Datenverlust. Das kostenlose Linux‑Startpaket enthält eine Ubuntu‑Vollversion und eine Schritt‑für‑Schritt‑Anleitung für die Installation neben Windows. So gewinnen Sie mehr Stabilität und Sicherheit – ganz ohne Lizenzkosten. Jetzt Linux-Startpaket gratis sichern

Microsoft und andere Anbieter arbeiten fieberhaft an Gegenmaßnahmen: Betrügerische Zertifikate werden sofort widerrufen, Sicherheitsprodukte kontinuierlich aktualisiert. Doch zwischen der Veröffentlichung signierter Malware und dem Zertifikatswiderruf bleibt oft ein gefährliches Zeitfenster.

Die Botschaft ist klar: In der digitalen Welt kann man niemandem mehr blind vertrauen – auch nicht den Zertifikaten.