Malware greift gezielt Nutzer von Salesforce.com an

SicherheitSoftwareVirus
Salesforce.com Logo (Bild: Salesforce.com)

Es handelt sich um eine Variante des Trojaners Zeus. Sie kann Salesforce.com-Anmeldedaten ausspähen und Daten abgreifen. Die Angreifer versuchen Sicherheitsmaßnahmen zu umgehen, indem die Malware nur dann aktiv wird, wenn der Nutzer von außerhalb des Firmennetzwerks auf sein Konto bei Salesforce.com zugreift.

Adallom Labs hat vor einer auf Nutzer von SaaS-Angeboten spezialisierten Variante des Trojaners Zeus gewarnt. Sie sei schon vor einigen Wochen entdeckt worden und könne Anmeldedaten für Salesforce.com-Konten stehlen. Die neue Zeus-Variante nutzt laut dem Sicherheitsunternehmen eine als “Landmine” bezeichnete Malware, die durch bestimmte Computeraktivitäten aktiviert wird.

Salesforce.com Logo

Bei einer Kontrolle sei aufgefallen, dass ein Mitarbeiter eines Unternehmens in kürzester Zeit mehrere Hundert Dateien aufgerufen haben. Auf seinem PC sei Windows XP und eine ungepatchte Version des Internet Explorer installiert gewesen.

Bei der Untersuchung des Rechners, den der Mitarbeiter auch zu Hause benutzt habe, wurde die Variante des Zeus-Trojaners gefunden, so das Sicherheitsunternehmen weiter. Die Malware habe, sobald sich der Mitarbeiter mit “my.salesforce.com” verbunden habe, Daten aus der laufenden Salesforce-Sitzung extrahiert. Er sei auch in der Lage, das Salesforce.com-Konto zu durchsuchen und dort alle Daten zu stehlen.

“Das ist das erste Mal, dass diese mächtige, wenngleich auch veraltete Waffe gegen SaaS-Konten eines Unternehmens eingesetzt wurde, wodurch Schwächen in den gegenwärtigen Sicherheitskontrollen aufgedeckt wurden, wenn Angriffe von außerhalb des Unternehmens ausgeführt werden”, schreiben die Sicherheitsforscher von Adallom Labs. Auch wenn sich der Angriff derzeit gegen Salesforce-Nutzer richte, könne grundsätzlich jedes SaaS-Angebot auf diese einfache Weise angegriffen werden.

Adallom Labs betont, dass es sich nicht um eine Sicherheitslücke in Salesforce.com handelt. Bisher ist den Experten auch nicht bekannt, wie die Schadsoftware auf den Rechner des Mitarbeiters gelangt ist. Durch den Angriff auf den Mitarbeiter hätten die Hacker alle Kontrollen im Firmennetzwerk vermieden und so den Umstand ausgenutzt, dass es bei SaaS-Angeboten üblich sei, von überall aus und mit jedem Gerät auf Firmenanwendungen zuzugreifen.

“Ich kann nur zu dem Schluss kommen, dass Firmen die Tatsache, dass mit SaaS auch BYOD kommt, entweder ignorieren oder nicht wahrnehmen”, erklärt Ami Luttwak, Gründer und CTO von Adallom Labs, gegnüber Dark Reading. SaaS-Anwendungen an sich seien sicher. Das gelte aber nicht für die verwendeten Geräte der Mitarbeiter. Zudem fühlten sich vielfach die Sicherheitsspezialisten in Unternehmen nicht für SaaS-Anwendungen verantwortlich. “Das gemeinsame Verantwortlichkeitsmodell für SaaS/Cloud bedeutet, dass der Provider die Absicherung der Infrastruktur übernimmt, während das Unternehmen für die Sicherheit der Kontoaktivitäten zuständig ist”, so Luttwak weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen