Startseite > Security > Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

25. Oktober 2023, 7:00 Uhr | Jörg Schröper

Kaspersky hat drei weitere finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank.

Der aktuelle Crimeware Report von Kaspersky hat drei neue Schadprogramme ausgemacht, die darauf abzielen, Daten und Geld zu stehlen.

Lumar ermöglicht Aufzeichnen von Telegram-Sessions: Bei Lumar handelt es sich um einen Multi-Purpose-Stealer, der erstmals im Juli 2023 verbreitet wurde und zunehmend zum Einsatz kommt. Der Stealer kann Telegram-Sessions aufzeichnen, Passwörter, Cookies und AutoFill-Daten sowie Daten aus verschiedenen Krypto-Wallets stehlen und Desktop-Dateien der Nutzer abrufen. Sobald man ihn ausgeführt, sammelt Lumar Systeminformationen und Nutzerdatzen und sendet sie an einen C2-Server (Command-and-Control). Der vom Malware-Entwickler als Malware as a Service (MaaS) gehostete Command-and-Control-Server bietet „nutzerfreundliche“ Funktionen wie Statistiken und Datenprotokolle. Mit der neuesten zum Download angebotenen Version, können Nutzer Telegram-Benachrichtigungen über eingehende Daten erhalten.

Rhysidas mit Talent zur Spurenverwischung: Weiterhin fanden die Experten von Kaspersky eine neue Ransomware. Rhysida kam durch Kasperskys Telemetrie ans Licht. Es fungiert als RaaS (Ransomware-as-a-Service) und ist in der Lage, sich selbst zu löschen. Die Malware ist mit älteren Windows-Versionen als Windows 10 kompatibel. Rhysida wurde in C++ geschrieben und mit MinGW sowie Shared Libraries kompiliert, das Design ist äußerst ausgeklügelt.

GoPix zielt auf Brasiliens Bezahlsystem PIX ab: Außerdem entdeckten die Kaspersky-Experten mit GoPIX eine seit Dezember 2022 laufende schädliche Kampagne, die Brasiliens weitverbreitetes Bezahlsystem PIX im Visier hat. Suchen Nutzer nach „WhatsApp web“, werden sie über irreführende Anzeigen umgeleitet. GoPIX nutzt das Anti-Fraud-Tool von IP Quality Score, um echte Nutzer von Bots zu unterscheiden, sodass zwei Download-Optionen erscheinen, die auf dem Status von Port 27275 basieren, der mit der Avast Safe Banking Software verknüpft ist. Die Malware, die darauf ausgelegt ist, Transaktionsdaten zu stehlen und zu manipulieren, kann unterschiedliche Vorgänge ausführen und reagiert auf Befehle von einem Command-and-Control-Server.

„Angesichts der steigenden Zahl von Cyberbedrohungen, die finanziell motiviert sind, bleibt unser Engagement für den Schutz digitaler Ökosysteme ungebrochen“, sagt Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir verfolgen die Entwicklung der Bedrohungslandschaft genau und entwickeln Sicherheitslösungen, um Angriffe proaktiv zu bekämpfen. Um die nötige Sicherheit zu gewährleisten, raten wir nachdrücklich zu einer robusten Cybersicherheitsstrategie, die derartige Bedrohungen wirksam abwehrt.“

Kaspersky-Empfehlungen zum Schutz vor Bedrohungen:

Offline-Backups einrichten, die nicht manipuliert werden können, und sicherstellen, dass man bei Bedarf oder im Notfall schnell auf diese Daten zugreifen kann.
Ransomware-Schutz auf allen Endpunkten installieren. Das kostenfrei erhältliche Kaspersky Anti-Ransomware Tool for Business schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
Eine Schutzlösung für Endgeräte und Mailserver mit Anti-Phishing-Funktionen implementieren, um das Risiko einer Infektion durch Phishing-E-Mails zu verringern.
Cybersicherheits-Audits der Netzwerke durchführen, um Schwachstellen am Netzwerkperimeter oder innerhalb des Netzwerks zu entdecken und zu beheben.
Bei einem Ransomware-Angriff kein Lösegeld zahlen, sondern die zuständigen Ermittlungsbehörden informieren. Die No-More-Ransom-Initiative bietet kostenfreie Entschlüsselungs-Tools an.