Man-in-the-Middle-Angriff: Online-Zocker im Visier von Online-Kriminellen

Mit einem ungewohnt ausgefeilten Trojaner machen Online-Ganoven derzeit Jagd auf Gamer: Der Schädling installiert ein Root-Zertifikat und manipuliert damit TLS/SSL-Verbindungen. Er wird über YouTube verbreitet.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht
Man-in-the-Middle-Angriff: Online-Zocker im Visier von Online-Kriminellen

(Bild: Epic Games)

Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Ein über YouTube verbreiteter Schädling soll die Rechner zehntausender Fortnite-Spieler befallen haben. Die Täter haben Ihre Opfer offenbar in die Falle gelockt, indem sie in einem YouTube-Clip für ein vermeintliches Cheat-Tool geworben haben. Das Tool sollte den Fortnite-Spielern angeblich zu kostenlosen Spielmünzen (V-Bucks) verhelfen und automatisch auf Geger zielen können (Aimbot). Stattdessen handelte es sich bei der verlinkten Datei jedoch um einen Trojaner, der sich als Man-in-the-Middle in die TLS/SSL-Verbindungen seiner Opfer einklinkte, um Werbeanzeigen in fremde Sites einzuschleusen.

Schwer verdächtig: Die Browser der Website-Besucher luden Anzeigencode, obwohl die Site keine Werbung ausliefert.

(Bild: Rainway)

Der Schwindel kam ans Licht, als die Anbieter der Spiele-Streaming-Software Rainway Unregelmäßigkeiten in Ihren Server-Logs feststellten: Ab dem 26. Juni tauchten dort fast 400.000 Hinweise darauf auf, dass die Browser der Webseiten-Besucher diverse Ressourcen eines Anzeigennetzwerks luden. Das irritierte die Betreiber, da sie in ihre Website keine Werbeanzeigen eingebettet hatten. Der Vorfall betraf offenbar mehrere Kunden – die Anfragen kamen aus den IP-Adressbereichen mehrerer Provider und die genutzte Hardware war unterschiedlich. Eine Sache hatten jedoch alle Betroffenen gemeinsam: Sie spielten Fortnite über die Streaming-Plattform. Die mysteriösen Vorfälle mussten also irgendwas mit dem Spiel zu tun haben.

Bei YouTube wimmelt es nur so von vermeintlichen Cheat-Programmen für angesagte Spiele wie Fortnite.

Die Rainway-Betreiber suchten anschließend bei YouTube nach Fortnite-Hacks und stieß auf etliche Videos, in denen Programme empfohlen wurden, die etwa Cheats und kostenlose Spielmünzen versprachen. Einige Hundert davon will Rainway heruntergeladen haben. Das Unternehmen untersuchte die Dateien nach URL-Strings, die zu den seltsamen Log-Einträgen passen und wurde tatsächlich fündig. Der Übeltäter verspricht Fortnite-Spielern, kostenlos Spielgeld in der In-Game-Währung V-Bucks zu generieren und automatisch auf Gegner zu zielen (Aimbot).

Nachdem Sie den Schädling gefunden hatten, führten sie ihn in einer virtuellen Maschine aus, um sein Verhalten zu studieren. Er stellte sich im System als Webproxy ein, wodurch der Internetverkehr fortan durch ihn hindurch geschleust wurde. Zusätzlich installierte er ein Root-Zertifikat im Zertifikatsspeicher von Windows. Dadurch kann sich der Schädling als Man-in-the-Middle in verschlüsselte TLS/SSL-Verbindungen einklinken, ohne dass der Browser eine Zertifikatswarnung anzeigt:

Der Schädling klinkt sich als Man-in-the-Middle in verschlüsselte Verbindungen ein.

(Bild: Rainway)

Und das funktioniert so: Der Browser baut eine verschlüsselte Verbindung zu einer Web-Seite auf. Der Trojaner klinkt sich selbst in diese ein und setzt dabei ein Zertifikat auf den Namen der Zielseite ein, das er selbst ausgestellt hat. Aufgrund des zuvor installierten Root-Zertifikats akzeptiert es der Browser als gültig. Auf der anderen Seite spricht der Trojaner mit dem legitimen Server und ruft dessen Seite ab. Bevor er diese an den Browser des Anwenders weiter reicht, fügt er die Anzeigen des Werbenetzwerks ein – im aktuellen Fall von Adtelligent.

Rainway informierte den Dateihoster, bei dem die Täter den Schädling hochgeladen hatten. Der Hoster reagierte prompt und entfernte die Datei. Zu diesem Zeitpunkt wurde sie bereits fast 80.000 Mal heruntergeladen. Das involvierte Anzeigennetzwerk wurde ebenfalls informiert, reagierte laut Rainway jedoch nicht. Bei YouTube wimmelt es nur so von Werbeclips für Cheat-Tools, die erstaunliche Dinge versprechen. Neben Fortnite sind auch die Spieler etlicher anderer Titel im Visier. Schützen kann man sich durch eine einfache Regel: Wenn es sich zu gut anhört, um wahr zu sein, dann ist es wahrscheinlich auch nicht wahr. Um derartige Software sollte man einen großen Bogen machen. Denn selbst wenn sie ihre Versprechen einhalten, riskiert man damit, dass man durch einen Ban von der Teilnahme an einem Spiel ausgeschlossen wird.

Leider liefert Rainway bisher keine konkreten Informationen zu dem bösartigen Root-CA-Zertifikat. Es selbst aufzuspüren ist keineswegs trivial. Denn die Liste der installierten Zertifikate ist lang und es gestaltet sich erstaunlich schwierig, die Echtheit der auf einem Windows-System installierten CA-Zertifikate zu überprüfen. Es ist keineswegs damit getan, die Zertifikate mit einem sauberen Referenz-System zu vergleichen, weil Microsoft neue Root-CAs nach Bedarf dynamisch nachinstalliert. Erst mit Zusatztools wie sigcheck aus der Sysinternals-Suite kann man die aktuell installierten Zertifikate gegen Microsofts offizielles Verzeichnis der registrierten CAs abgleichen und nachträglich eingeschleuste Zertifikate aufspüren. Genauer erklärt das der c't-Artikel:

(rei)