wei - stock.adobe.com
Malware zielt immer häufiger auf Passwort-Manager
Schadsoftware versucht zunehmend Passwort-Manager anzugehen. Grund genug, die Bedrohung für die sinnvollen Kennwort-Tools inklusive einer Risikobewertung näher zu betrachten.
Obwohl es Passwort-Manager schon seit Jahrzehnten gibt, kommen sie erst jetzt so richtig in Fahrt. Der weltweite Markt für Passwort-Manager wurde für das Jahr 2022 mit weniger als zwei Mrd. US-Dollar beziffert, es wird jedoch von Analysten erwartet, dass er in den kommenden Jahren einen Wert von sechs bis acht Mrd. US-Dollar erreichen wird. Viele langjährige Cybersicherheitsexperten verwenden und empfehlen inzwischen Passwort-Manager.
Ein Passwort-Manager speichert alle ihre Passwörter in einem so genannten Tresor. Ein Tresor ist normalerweise eine normale Computerdatei, kann aber auch eine Datenbankdatei oder ein anderes Format sein. Die Datei wird in der Regel auf dem Gerät gespeichert, auf dem der Passwort-Manager installiert ist, aber bei einigen Passwort-Manager kann sich der Tresor auch an einem anderen Ort befinden (zum Beispiel auf einem Wechselmedium und so weiter). Gespeicherte Kennwörter können in andere, nicht lokale Speicherbereiche repliziert werden, beispielsweise auf der Website des Anbieters oder in einem Cloud-Speicher. Unabhängig davon, wie ein Passwort-Manager die Kennwörter speichert, sind sie alle über das Programm zugänglich.
Wenn ein Passwort-Manager kompromittiert wird, hat ein Angreifer die Möglichkeit, auf alle gespeicherten Passwörter auf einmal zuzugreifen, anstatt vielleicht nur ein oder ein paar Passwörter sofort zu erfahren (durch Beobachtung oder Keylogging-Trojaner), wenn der Benutzer sie eingibt. Passwort-Manager sind unter Fachleuten schon immer heftig umstritten gewesen, ob sie das Risiko wert sind. Sind die großen Risiken, die sie ausgleichen (zum Beispiel schwache und wiederverwendete Passwörter), das potenziell katastrophale Risiko eines einzelnen Fehlers wert?
Security-Fachleute haben bereits vorweggenommen, dass mit der zunehmenden Beliebtheit von Passwort-Managern Hacker und die von ihnen erstellte Malware immer häufiger auf Passwort-Manager abzielen. Das ist keine Überraschung. Hacker nehmen immer das ins Visier, was populärer wird. Dies scheint derzeit in erheblichem Maße zu geschehen.
Malware, die auf Passwort-Manager abzielt
Schadsoftware, die auf Passwort-Manager abzielt, ist nichts Neues. Im Jahr 2014 hat der Citadel-Trojaner, der schätzungsweise einen von 500 PCs weltweit befallen hat, die Master-Passwörter von Passwort-Managern aufgezeichnet, während die Benutzer sie zum Öffnen ihrer Passwort-Manager eintippten.
Schon vor fast einem Jahrzehnt gab es also auf einer ganzen Reihe von PCs Malware, die es auf Passwort-Manager abgesehen hatte, aber nur ein Prozent der Benutzer verwendete damals Passwort-Manager. Und selbst dann stahl die Malware nicht automatisch alle Kennwörter, die in dem angegriffenen Kennwort-Manager gespeichert waren. Die Malware wurde lediglich für den Diebstahl des Master-Passworts für den Passwort-Manager verwendet. Dies könnte der Angreifer dann später bei Bedarf verwenden.
Die steigende Popularität von Passwort-Managern begann jedoch im Jahr 2022 und verändert den Standardcharakter von Trojanern zum Stehlen von Passwörtern, so dass sich diese weiterentwickeln. Es gibt immer mehr Passwortdiebstahl-Trojaner, die direkt auf Passwort-Manager abzielen, und sie sind so beliebt, dass sie sogar in Google-Anzeigen auftauchen. Bei diesem Angriff aus dem Jahr 2023 versuchten bösartige Google-Anzeigen, Benutzer des Passwort-Managers Bitwarden durch Social Engineering dazu zu bringen, ihre Master-Passwörter auf gefälschten Websites preiszugeben. Andere bösartige Anzeigen zielten auf 1Password-Benutzer ab, indem sie denselben Social-Engineering-Trick verwendeten.
Dabei handelt es sich jedoch lediglich um herkömmliches Passwort-Social-Engineering, das seit den Anfängen des Internets praktiziert wird. Die interessanteren Malware-Programme sind Trojaner, die auf die lokal installierte Passwort-Manager-Software selbst abzielen. Malware, die direkt auf Passwort-Manager-Software abzielt, hatte es zunächst nur auf einen oder einige wenige beliebte Passwort-Manager abgesehen.
Arkei Infostealer zum Beispiel zielte nur auf einen einzigen Passwort-Manager, Treznor (zusammen mit einigen MFA-Optionen). Racoon Stealer (verfügbar seit 2019) wurde kürzlich aktualisiert und zielt nun auf zwei Passwort-Manager ab: Bitwarden und 1Password (PDF).
Aber zunehmend zielt die Malware auf weit mehr Passwort-Manager ab. Der Trojaner Stealc, der Informationen stiehlt, zielt beispielsweise auf 13 verschiedene Passwort-Manager ab:
- Bitwarden
- BrowserPass
- CommonKey
- Dashlane
- KeePassXC
- Keeper
- LastPass
- MYKI
- NordPass
- RoboForm
- Splikity
- Trezor
- Zoho Vault
Der Trojaner Luca Stealer sucht nach 17 verschiedenen Passwort-Managern:
- 1Password
- Avira
- Bitwarden
- BrowserPass
- CommonKey
- Dashlane
- EOS Auth
- KeePassXC
- Keeper
- LastPass
- MYKI
- NordPass
- Norton
- RoboForm
- Splikity
- Trezor
- Zoho Vault
Diese Trojaner, die es auf Passwort-Manager abgesehen haben, bekommen jedoch nicht alle gespeicherten Passwörter auf einmal. Alle diese Trojaner, die auf Passwort-Manager abzielen, funktionieren, indem sie die Browsererweiterung des Passwort-Managers in Aktion abhören, das heißt die Trojaner fangen Passwörter ab, während sie vom Benutzer verwendet werden, der den Passwort-Manager nutzt. Die Passwörter werden einzeln gestohlen, wenn der Benutzer sie verwendet, und nicht alle gespeicherten Passwörter sind auf einmal weg. Ich habe noch keinen Trojaner gesehen, der auf den Passwort-Manager abzielt, dessen Master-Passwort stiehlt oder umgeht und dann alle gespeicherten Passwörter auf einmal exportiert. Aber er ist sicherlich im Anmarsch. Dieser Beitrag konzentriert sich auf eigenständige Passwort-Manager. Browser, die Kennwörter für Benutzer speichern, um sie bei automatischen Anmeldungen zu unterstützen, sind ebenfalls schon seit Jahren ein beliebtes Ziel für Malware-Angriffe, weit mehr als Trojaner, die auf Passwort-Manager abzielen. Heute zielt fast die gesamte Malware, Hunderte von Familien, zum Stehlen von Passwörtern auf in Browsern gespeicherte Passwörter ab. Dagegen gibt es wahrscheinlich nur eine Handvoll oder zwei Malware-Familien, die direkt auf Passwort-Manager abzielen. Dies ist einer der Gründe, warum eigenständige Passwort-Manager gegenüber betriebssystem- und browserbasierten Passwort-Managern empfohlen wurden.
In gewissem Sinne kann Malware, die „nur“ durch Keylogging bei der Passworteingabe und/oder über den Browser stiehlt, als die traditionelle Standardmethode angesehen werden, mit der die meisten Trojaner Passwörter stehlen. Es gibt buchstäblich Zehntausende von Malware-Programmen, die darauf abzielen, Passwörter aus Browsern zu extrahieren. Ein Beispiel für browserbasierte Passwortdiebe sind die Redline Malware und der Vidar Stealer. Dieser Beitrag konzentriert sich zwar auf Malware, die auf Passwort-Manager abzielt, aber die Warnungen und viele der unten empfohlenen Schutzmaßnahmen gelten auch für browserbasierte Passwort-Manager.
Viele Malware-Programme fangen leicht alle Informationen ab, die in die Zwischenablage des Betriebssystems kopiert werden. Dies tun viele Benutzer von Passwort-Managern, wenn sie Passwörter aus einem Passwort-Manager in einen Anmeldebildschirm kopieren und einfügen (wenn der Passwort-Manager nicht über automatische Ausfüllfunktionen verfügt oder nicht mit einem bestimmten Anmeldebildschirm funktioniert).
Passwort-Manager-Angriffe: Die wichtigsten Aspekte
Die wichtigste Erkenntnis aus diesem Beitrag ist, dass die meiste Malware zum Stehlen von Kennwörtern auf Passwörter abzielt, die von den Benutzern eingegeben wurden, oder sich auf den Export von in Browsern gespeicherten Kennwörtern konzentriert, und dass dies immer noch die vorherrschenden Formen sind. Es gibt jedoch eine deutliche Zunahme von Malware, die nicht nur auf eigenständige Passwort-Manager abzielt, sondern auch auf mehrere Passwort-Manager auf einmal.
Der Trend zu Malware, die auf Passwort-Manager abzielt, wird im Laufe der Zeit weiter zunehmen, da immer mehr Benutzer diese verwenden. Es lässt sich erwarten, dass alle herkömmlichen Malware-Programme, die bisher nur Passwörter von Browsern stehlen oder protokollieren, auch Passwörter von Passwort-Managern stehlen werden. Alle herkömmlichen Trojaner zum Stehlen von Passwörtern müssen diese Funktion übernehmen oder werden von der Konkurrenz abgehängt.
Passwort-Manager weiterverwenden?
Die großen Risiken, die Passwort-Manager mindern (das Risiko schwacher und/oder gemeinsam genutzter Passwörter) überwiegen bei weitem das Risiko, dass der Passwort-Manager eines Benutzers kompromittiert wird. Ja, es gibt immer mehr Malware, die auf Passwort-Manager abzielt, aber die Art und Weise, wie die Malware Passwort-Manager kompromittiert, wäre für den Benutzer genauso schädlich, selbst wenn kein Passwort-Manager verwendet würde.
Fast alle Trojaner, die Passwörter stehlen, von denen es viele gibt, setzen voraus, dass der Desktop des Benutzers „lokal“ kompromittiert wird, und in den meisten Fällen wird auch der Browser des Benutzers kompromittiert. Die Malware zeichnet dann Passwörter auf, während der Benutzer sie benutzt. Diese Keylogging-Funktionalität ist in der Regel identisch, unabhängig davon, ob ein Passwort-Manager beteiligt ist oder nicht. Das Risiko, dass das individuelle Kennwort des Benutzers bei der Verwendung gestohlen wird, ist das gleiche, ob ein Kennwortmanager verwendet wird oder nicht. Und wenn der Benutzer einen Passwort-Manager verwendet, mindert er zumindest die beiden größeren Risiken bei der Verwendung von Passwörtern (das heißt schwache und gemeinsame Passwörter).
„Die Wahrscheinlichkeit, dass der Computer kompromittiert wird, ist weitaus größer, wenn schwache oder gemeinsam genutzte Kennwörter verwendet werden, als wenn man einen Passwort-Manager verwendet.“
Roger A. Grimes, KnowBe4
Es stimmt zwar, dass automatisierte Malware zum Stehlen von Passwörtern eines nach dem anderen stiehlt, während sie vom Benutzer verwendet werden, aber ist es nicht auch so, dass ein Hacker in Echtzeit den gesamten Passwort-Manager kompromittieren und alle gespeicherten Passwörter auf einmal auslesen könnte? Die Anzahl der Angreifer, die Passwörter manuell stehlen, ist nur ein winziger Bruchteil dessen, was täglich von automatischen Passwort-Trojanern gestohlen wird. Und in jedem Fall könnte ein Hacker oder seine Schadsoftware einfach alle vom Benutzer im Laufe der Zeit verwendeten Passwörter aufzeichnen und so alle Passwörter erhalten. Dies gilt unabhängig davon, ob der Benutzer einen Passwort-Manager verwendet oder nicht.
Es besteht ein erhöhtes Risiko, dass ein manueller Hacker alle gespeicherten Kennwörter auf einmal extrahieren könnte, was über das hinausgeht, was automatisierte Malware derzeit tut, aber auch hier sind manuelle, menschliche Angreifer nur ein Bruchteil im Vergleich zu dem automatisierten Zeug. Außerdem kann der Hacker die Kennwörter nur auslesen, wenn Ihr Kennwort-Manager geöffnet und nicht gesperrt ist, was das Risiko weiter verringert.
Abwehrmaßnahmen gegen Malware, die auf Passwort-Manager abzielt
Die klare Antwort Nummer eins lautet: Anwender sollten sich nicht dazu verleiten lassen, einen Trojaner zu installieren, der Passwörter stiehlt. Fast alle Trojaner, die Passwörter stehlen, werden von einem Endbenutzer installiert, der dazu verleitet wird, etwas auszuführen, das er nicht hätte öffnen oder ausführen dürfen. Siebzig bis neunzig Prozent aller erfolgreichen Hackerangriffe erfolgen aufgrund von Social Engineering. Die zweitwahrscheinlichste Art, wie ein Trojaner auf einem Computer aktiviert werden kann (und das ist eine weitaus geringere), ist nicht gepatchte Software. Unternehmen sollten sicherstellen, dass sie alle wichtigen Patches suchen und installieren, insbesondere wenn die Sicherheitslücke im CISA-Katalog für bekannte Sicherheitslücken aufgeführt ist. Das sind die Software- und Firmware-Fehler, die von echten Angreifern gegen echte Unternehmen eingesetzt werden. Diese Hochrisikosoftware ist am wichtigsten.
Phishing-resistente MFA (Multifaktor-Authentifizierung) oder passwortlose Optionen sollten so oft wie möglich verwendet werden. Damit schützen Unternehmen nicht nur einen Passwort-Manager (anstelle eines Master-Passworts), sondern nutzen diese Option auf allen wichtigen Websites und Diensten. Wenn alle möglichen MFA- und passwortlosen Authentifizierungslösungen zusammengezählt werden, könnten sie leider auf über zwei Prozent der weltweiten Websites und Dienste nicht verwendet werden.
Mitarbeiter werden also weiterhin Passwörter verwenden müssen. Unternehmen sollten einen guten Passwort-Manager und einen Anbieter verwenden, der sich wirklich für Sicherheit einsetzt, um sichere Passwörter zu erstellen und zu verwenden. Die Wahrscheinlichkeit, dass der Computer kompromittiert wird, ist weitaus größer, wenn schwache oder gemeinsam genutzte Kennwörter verwendet werden (der drittwichtigste Grund, warum Computer kompromittiert werden), als wenn man einen Passwort-Manager verwendet. Und wenn der Computer durch ein trojanisches Programm kompromittiert wird, spielt es keine Rolle, ob sie einen Passwort-Manager verwenden oder nicht. Deshalb sollte ein Kennwort-Manager eingesetzt werden, um die beiden größten Risiken bei der Verwendung von Kennwörtern (das heißt schwache und/oder gemeinsam genutzte Kennwörter) zu verringern. Mit Passwort-Managern ist es einfach, sichere Passwörter zu erstellen und zu verwenden, die für jede Website (und jeden Dienst, jede Anwendung und so weiter) einzigartig sind.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.