Die mutmaßlich nordkoreanische Hackergruppe „Lazarus“ wurde in der Vergangenheit immer wieder wegen großflächiger Angriffe bekannt. Sie werden mit der Wanna Cry Ransomware von 2017 ebenso in Verbindung gebracht wie mit zahlreichen Angriffen auf Kryptowährungen im vergangenen Jahr. Auch der massive, folgenreiche Angriff auf Sony Pictures vor 10 Jahren soll von „Lazarus“ durchführt worden sein.Microsoft Experten nennen diese Hacker auch „Diamond Sleet“ oder „Zinc“. Sie nutzen die gleichnamige, kompromittierte Software und sind weltweit aktiv. Wie groß der Schaden durch die infizierte Update-Software entstanden ist, wurde bisher noch nicht bekannt gegeben.
Microsoft entdeckt Malware in CyberLink Installer
Die Sicherheitsexperten von Microsoft haben in einem Installationsprogramm von CyberLink einen Trojaner entdeckt.Die Schadsoftware wurde über den CyberLink Updateserver verteilt. Bevor das Programm gestoppt wurde, hat die Malware wahrscheinlich deutlich über 100 Systeme in Japan, Taiwan, Kanada und den USA infiziert.
CyberLink bietet Produkte aus dem Bereich der Medienwiedergabe bzw. -bearbeitung an. Durch Vereinbarungen mit verschiedenen PC Herstellern werden die Programme in der Regel auf der entsprechenden Hardware vorinstalliert und per Updateserver auf den neusten Stand gebracht.
Besonders prekär: die Installer von Cyberlink haben echte Zertifikate, deshalb wurden sie von den Scannern als „harmlos“ erkannt. Die infizierten Installer waren auf ein bestimmtes Produkt ausgerichtet, deshalb wurden meist PC in Asien, Kanada und den USA infiziert. Wie es den Hackern gelingen konnte, das Sicherheitszertifikat von Cyberlink zu übernehmen und dann den kompromittierten Installer auf die Updateserver von CyberLink zu bringen, wurde auf dem Microsoft-Blog nicht bekanntgegeben.
Sicherheitszertifikat von CyberLink- Installer ist ungültig
Microsoft hat umgehend reagiert, den Vorfall an CyberLink gemeldet und das entsprechende Sicherheitszertifikat für ungültig erklären lassen. Damit wird die Installation jetzt und in Zukunft auf allen Windows-PC blockiert. Zudem wird die entsprechende Malware jetzt auch von Microsoft Defender und anderen Sicherheitsprogrammen erkannt.