• Das macht Trojaner so gefährlich
  • Was du über die neuartige Schadsoftware wissen musst
  • So kannst du dich davor schützen
  • Schadsoftware "Lumma": Das unternimmt Google

In den vergangenen Jahren ist die Anzahl an Schadsoftware besorgniserregend gestiegen. Dahinter stecken Cyber-Kriminelle, die versuchen, sich mit raffinierten wie gefährlichen Hacks Zugang zu diversen Konten zu verschaffen. Seit geraumer Zeit ist nun ein neuartiger Trojaner im Umlauf, der insbesondere auf Google-Konten abzielt. Im nachfolgenden Artikel erfährst alles darüber, was du wissen solltest.

Neuartiger Trojaner: Das steckt dahinter

Kurz vorab: Ein Trojaner ist ein Programm, welches andere Programme, oft sogenannte Malware, auf dem befallenen Computer ungefragt installiert. Häufig stammen sie von Freeware und Shareware, die Nutzer aus dem Internet herunterladen. Obwohl nicht jede Freeware ein Trojaner ist, wird dennoch empfohlen, Software und Freeware nur von authentischen Quellen herunterzuladen. Häufig wird auch versucht, Trojaner über Pop-Up Seiten zu verteilen.

Derzeit gibt es eine Schwachstelle in Google-Diensten, durch die es der Malware "Lumma Stealer" möglich wird, komplette Google-Konten zu übernehmen. Bereits vor einigen Monaten berichtete das Sicherheitsunternehmen CloudSEK über einen sogenannten "Exploit" bei Google. Exploits sind kleine Programme, die Sicherheitslücken auf Computer ausfindig machen und diese gezielt ausnutzen.

Sicherheitsforschenden zufolge handelte es sich damals um einen Exploit, "der die Generierung dauerhafter Google-Cookies durch Token-Manipulation ermöglicht". Nach Bekanntwerden der Schwachstelle wurde diese auch in Malware wie z. B. "Lumma" eingebaut. "Lumma Stealer" gehört zu jenen Schädlingen, die vor allem auf das Sammeln von Informationen ausgerichtet sind und daher sehr aggressiv vorgehen. Sie werden auch "Infostealer" genannt, da sie Daten von Webbrowsern sammeln und Cookies und sensible Nutzerdaten auslesen. 

Tückisch und gefährlich: "Lumma Stealer" kann Sicherheitsprogramme umgehen

Die Malware kann zudem auf unterschiedlichen Systemen die Cookies, in denen Anmeldedaten gespeichert sind, ausnutzen und übernehmen. Dies bedeutet, dass Login-Cookies manipuliert werden, wodurch den Hackern ein dauerhafter Zugang gewährt wird. Im Prinzip werden die Cookies stetig neu generiert. Der neuartige Trojaner nutzt für diesen Zweck einen bisher undokumentierten Google OAuth-Endpunkt (Open Authorization) namens "MultiLogin".

Über besagten Endpunkt kann die Malware gültige Cookies für geklaute Konten erstellen. Sie lädt über die Schnittstelle, die eigentlich zum Abgleich der Kontodaten über verschiedene Geräte hinweg gedacht ist, verschlüsselte Zugangs-Tokens herunter und entschlüsselt diese mithilfe von geklautem Schlüsselmaterial aus dem Browser des jeweiligen Opfers.

Der neuartige Trojaner namens "Lumma Stealer" ist so raffiniert programmiert, dass er auch Sicherheitsprogramme und -lösungen spielend leicht umgehen kann. Auf diese Weise verschaffen sich die Hacker dauerhaft Zugriff auf alle Konten, in die der Nutzer bzw. die Nutzerin zum Zeitpunkt der Attacke eingeloggt war. Das Ändern des Kontopassworts verhindert diese Art des Angriffs nicht. "Lumma" nutzt nämlich exakt die Google-API, die dafür zuständig ist, Anmeldungen über verschiedene Geräte hinweg aktuell zu halten. Über die API greift die Malware gültige Zugangsdaten ab und vergleicht diese mit den Daten auf dem kompromittierten PC. Taucht die Malware auf einem Computer auf, sollten auf diesem keine Passwortänderungen oder andere Aktionen durchgeführt werden.

Wie du deine Google-Konten vor der Schadsoftware "Lumma" schützen kannst

Tatsächlich kann jeder Nutzer einer Malware-Attacke zum Opfer fallen. Um dich bestmöglich davor zu schützen, solltest du nicht nur über ein aktuelles Virenschutzprogramm verfügen, sondern zudem auch vorsichtig sein, was Downloads anbelangt. Sollte dir eine Download-Quelle nicht zu hundert Prozent sicher und seriös erscheinen, ist es ratsam, die Finger davonzulassen. 

Bei einem "gewöhnlichen" Cyberangriff empfiehlt es sich, seine Passwörter zu ändern. Darüber hinaus ist es grundsätzlich wichtig, den Browser sowie auch sämtliche Programme stets mit Updates zu versorgen, insbesondere dann, wenn die Entwickler Sicherheitspatches ausrollen. Wie oben bereits erwähnt, reicht eine Passwortänderung im Falle von "Lumma" nicht aus. Da die verschlüsselten Authentifizierungs-Tokens nicht von einem Google-Passwort abhängig sind, kann diese Maßnahme dem Trojaner nichts anhaben.

Wenn du den Verdacht hast, dass sich auf einem deiner Geräte "Lumma Stealer" oder eine andere Malware, die diese oder eine ähnliche Technik nutzt, installiert hat, solltest du eine sofortige Abmeldung von allen Google-Profilen auf allen Endgeräten vornehmen. Dadurch werden die Cookies zunächst ungültig. Erkennt dein Virenscanner die Malware, sollte diese sofort entfernt werden. Ist eine Bereinigung nicht möglich, kann lediglich eine Neuinstallation des betroffenen Systems und eine anschließende Änderung des Passworts Abhilfe schaffen.

Wann wird die Sicherheitslücke behoben?

Weitere eventuell wirksame Gegenmaßnahmen sind derzeit noch nicht bekannt. Aktuell liegt es in der Verantwortung von Google selbst, die Sicherheitslücke zu schließen. Da mittlerweile mehr als ein halbes Dutzend Malware-Varianten den beschriebenen Token-Trick nutzt, dürften die Entwickler des Suchmaschinengiganten schon längst hellhörig geworden sein. 

Ein Google-Sprecher bestätigte dies gegenüber dem US-amerikanischen Magazin Techradar. Demnach seien aktuelle Berichte über den Diebstahl von Sitzungstoken durch eine Malware-Familie den Verantwortlichen bekannt. Angriffe mit Malware, die Cookies und Tokens stiehlt, bezeichnete der Sprecher außerdem als "nichts Neues". Laut seiner Stellungnahme können gestohlene Sitzungen durch einfaches Abmelden vom betroffenen Browser ungültig gemacht oder aus der Ferne über die Geräte des jeweiligen Nutzers widerrufen werden.

Ob und wann Google besagte Sicherheitslücke beheben wird, ist zum gegenwärtigen Zeitpunkt noch unklar. In seinem Statement gab der Sprecher schlicht an, dass man die Situation weiterhin beobachten und notfalls Aktualisierungen bereitstellen werde.