Tusk auf Diebestour
Angreifer verbreiten Infostealer- und Clipper-Malware
Kaspersky hat eine Online-Betrugskampagne aufgedeckt, die darauf abzielt, Kryptowährungen und sensible Informationen zu stehlen. Dafür werden beliebte Themen wie web3, Krypto, KI oder Online-Gaming für schädliche Zwecke missbraucht.
Die Experten vermuten, dass die Kampagne von russischsprachigen Cyberkriminellen orchestriert wird und Infostealer- sowie Clipper-Malware verbreitet. Hinter der Kampagne steht vermutlich ein russischsprachiger Akteur, da die Experten von Kaspersky im Code das russischsprachige Wort für „Mammut“ entdeckten; entsprechend nannte Kaspersky die Kampagne „Tusk“ (Stoßzahn).
Das Global Emergency Response Team (GERT) von Kaspersky hat damit eine Betrugskampagne aufgedeckt, die es weltweit auf Windows- und macOS-Nutzer abgesehen hat und darauf abzielt, Kryptowährungen und persönliche Daten zu stehlen. Die Angreifer nutzen beliebte Themen für ihre gefälschten Webseiten, die das Design und die Nutzeroberfläche verschiedener legitimer Dienste täuschend ähnlich imitieren.
Zuletzt ahmten diese Websites vornehmlich eine Krypto-Plattform, ein Online-Rollenspiel und einen KI-Übersetzer nach. Obwohl sich die schädlichen Websites in einigen Elementen wie dem Namen und der URL geringfügig unterscheiden, wirken sie legitim; dies erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Die Opfer werden durch Phishing dazu verleitet, mit diesen gefälschten Systemen zu interagieren und sensible Informationen wie beispielsweise Keys für ihre Krypto-Wallets preiszugeben oder Malware herunterzuladen. Die Angreifer erhalten daraufhin Zugriff auf die Wallet entweder über die gefälschte Website und ziehen deren Guthaben ab oder können mit Hilfe der Infostealer-Malware Anmeldedaten, Wallet-Details und andere Informationen stehlen.
Die Kampagne verbreitet Infostealer-Malware wie Danabot und Stealc sowie eine in Go geschriebene Open-Source-Variante einer Clipper-Malware. Die eingesetzte Malware variiert je nach Kampagnenthema. Infostealer sind darauf ausgelegt, sensible Informationen wie Anmeldedaten zu stehlen, während Clipper die Daten in der Zwischenablage überwachen. Wenn eine Krypto-Wallet-Adresse in die Zwischenablage kopiert wird, ersetzt der Clipper sie durch eine schädliche Adresse.
Die Malware-Loader-Dateien sind auf Dropbox gehostet. Sobald die Opfer diese heruntergeladen haben, stoßen sie auf nutzerfreundliche Oberflächen, die als Tarnung für die Malware dienen. Sie werden aufgefordert, sich entweder anzumelden, zu registrieren oder einfach auf einer statischen Seite zu bleiben. In der Zwischenzeit lädt das System die restlichen schädlichen Dateien und Payloads automatisch herunter und installiert sie auf dem Rechner des Betroffenen.
„Die Korrelation zwischen den verschiedenen Teilen dieser Kampagne und ihrer gemeinsamen Infrastruktur lässt auf eine gut organisierte Operation schließen – möglicherweise eines einzelnen Akteurs oder einer Gruppe, der oder die spezifische finanzielle Motive verfolgt“, erklärte Ayman Shaaban, Head of Incident Response Unit im Global Emergency Response Team (GERT) bei Kaspersky. „Zusätzlich zu den drei Unterkampagnen, die sich Krypto-, KI- und Gaming-Themen bedienen, haben wir mit Hilfe unserer Threat Intelligence die Infrastruktur für 16 weitere Themen identifiziert. Dabei handelt es sich entweder um ältere, inaktive Unterkampagnen oder neue, noch nicht gestartete Kampagnen. Dies zeigt, dass die Bedrohungsakteure in der Lage sind, sich schnell an Trendthemen anzupassen und als Reaktion darauf neue schädliche Operationen durchzuführen. Deshalb ist es dringend notwendig, robuste Sicherheitslösungen einzusetzen und Cyberkenntnisse zum Schutz vor sich entwickelnden Bedrohungen auszubauen“. Das Wort „Mammut“ im Code als Bezeichnung für „Opfer“ weise auf russischsprachige Bedrohungsakteure hin.
Lesen Sie mehr zum Thema
