- Vermutlich russischsprachiger Bedrohungsakteur verbreitet Infostealer- sowie Clipper-Malware weltweit
- Beliebte Trendthemen wie web3, Krypto, KI und Online-Gaming werden für schädliche Zwecke missbraucht
Kaspersky hat eine Online-Betrugskampagne [1] aufgedeckt, die darauf abzielt, Kryptowährungen und sensible Informationen zu stehlen. Dafür werden beliebte Themen wie web3, Krypto, KI oder Online-Gaming für schädliche Zwecke missbraucht. Die Experten vermuten, dass die Kampagne von russischsprachigen Cyberkriminellen orchestriert wird und Infostealer- sowie Clipper-Malware verbreitet. Hinter der Kampagne steht vermutlich ein russischsprachiger Akteur, da die Experten von Kaspersky im Code das russischsprachige Wort für „Mammut“ entdeckten; entsprechend nannte Kaspersky die Kampagne „Tusk“ (Stoßzahn).
Das Global Emergency Response Team (GERT) von Kaspersky hat mit „Tusk“ eine Betrugskampagne aufgedeckt, die es weltweit auf Windows- und macOS-Nutzer abgesehen hat und darauf abzielt, Kryptowährungen und persönliche Daten zu stehlen. Die Angreifer nutzen hierfür beliebte Themen für ihre gefälschten Webseiten, die das Design und die Nutzeroberfläche verschiedener legitimer Dienste täuschend ähnlich imitieren. Zuletzt ahmten diese Websites vornehmlich eine Krypto-Plattform, ein Online-Rollenspiel und einen KI-Übersetzer nach. Obwohl sich die schädlichen Websites in einigen Elementen wie dem Namen und der URL geringfügig unterscheiden, wirken sie legitim; dies erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Verbreitung von Infostealern und Clippern mit Trendthemen als Aufhängern
Die Opfer werden durch Phishing dazu verleitet, mit diesen gefälschten Systemen zu interagieren und sensible Informationen wie beispielsweise Keys für ihre Krypto-Wallets preiszugeben oder Malware herunterzuladen. Die Angreifer erhalten daraufhin Zugriff auf die Wallet entweder über die gefälschte Website und ziehen deren Guthaben ab oder können mithilfe der Infostealer-Malware Anmeldedaten, Wallet-Details und andere Informationen stehlen.
Die Kampagne verbreitet Infostealer-Malware wie Danabot und Stealc sowie eine in Go geschriebene Open-Source-Variante einer Clipper-Malware. Die eingesetzte Malware variiert je nach Kampagnenthema. Infostealer sind darauf ausgelegt, sensible Informationen wie Anmeldedaten zu stehlen, während Clipper die Daten in der Zwischenablage überwachen. Wenn eine Krypto-Wallet-Adresse in die Zwischenablage kopiert wird, ersetzt der Clipper sie durch eine schädliche Adresse.
Die Malware-Loader-Dateien werden auf Dropbox gehostet. Sobald die Opfer diese heruntergeladen haben, stoßen sie auf nutzerfreundliche Oberflächen, die als Tarnung für die Malware dienen. Sie werden aufgefordert, sich entweder anzumelden, zu registrieren oder einfach auf einer statischen Seite zu bleiben. In der Zwischenzeit werden die restlichen schädlichen Dateien und Payloads automatisch heruntergeladen und auf dem System des Betroffenen installiert.
„Die Korrelation zwischen den verschiedenen Teilen dieser Kampagne und ihrer gemeinsamen Infrastruktur lässt auf eine gut organisierte Operation schließen – möglicherweise eines einzelnen Akteurs oder einer Gruppe, der oder die spezifische finanzielle Motive verfolgt“, erklärt Ayman Shaaban, Head of Incident Response Unit im Global Emergency Response Team (GERT) bei Kaspersky. „Zusätzlich zu den drei Unterkampagnen, die sich Krypto-, KI- und Gaming-Themen bedienen, haben wir mithilfe unserer Threat Intelligence die Infrastruktur für 16 weitere Themen identifiziert. Dabei handelt es sich entweder um ältere, inaktive Unterkampagnen oder neue, noch nicht gestartete Kampagnen. Dies zeigt, dass die Bedrohungsakteure in der Lage sind, sich schnell an Trendthemen anzupassen und als Reaktion darauf neue schädliche Operationen durchzuführen. Deshalb ist es dringend notwendig, robuste Sicherheitslösungen einzusetzen und Cyberkenntnisse zum Schutz vor sich entwickelnden Bedrohungen auszubauen“.
Das Wort „Mammut“ im Code als Bezeichnung für „Opfer“ weist auf russischsprachige Bedrohungsakteure hin
Kaspersky entdeckte in dem an die Server der Angreifer gesendeten Schadcode russischsprachige Strings, darunter das Wort „Mammut“ (russisch „Мамонт“). Dieses wird von russischsprachigen Bedrohungsakteuren umgangssprachlich als Bezeichnung für „Opfer“ verwendet und tauchte sowohl in der Serverkommunikation als auch in den Malware-Download-Dateien auf. Kaspersky nannte die Kampagne folglich „Tusk“ (Stoßzahn), um eine Analogie zu Mammuts zu ziehen und das Ziel des finanziellen Gewinns – wie bei der Jagd nach wertvollen Stoßzähnen – zu unterstreichen.
Eine detaillierte technische Aufschlüsselung der Kampagne ist verfügbar unter https://securelist.com/tusk-infostealers-campaign/113367/
Kaspersky-Tipps zum Schutz vor Tusk und ähnlichen Cyberbedrohungen
- Überprüfen, ob die Anmeldeinformationen für Geräte oder Webanwendungen von Datendieben kompromittiert wurden. Dies ist über die speziell dafür aufgesetzte Landing Page für Kaspersky Digital Footprint Intelligence [2] möglich.
- Um sich vor Malware zum Diebstahl von Daten und Krypto-Bedrohungen zu schützen, für jedes Gerät eine umfassende Sicherheitslösung wie beispielsweise Kaspersky Premium [3] verwenden. Dadurch werden Infektionen verhindert und der Nutzer vor Gefahren wie verdächtigen Websites oder Phishing-E-Mails, die eine erste Angriffsfläche für eine Infektion darstellen können, gewarnt. Alle neuen Schadprogramme aus der Tusk-Kampagne werden von Kaspersky-Produkten erkannt.
- In Cybersicherheitskurse für Mitarbeiter investieren, um diese auf dem neuesten Wissensstand zu halten. Mit dem Kaspersky Expert Training on Windows Incident Response [4] können selbst erfahrene Spezialisten zum Thema Incident Response geschult werden, um auch die komplexesten Angriffe zu erkennen. Sie erhalten fundiertes Wissen der Experten des Global Emergency Response Teams (GERT).
- Password Manager [5] verwenden, um den Einsatz sicherer Passwörter zu erleichtern.
[1] https://securelist.com/tusk-infostealers-campaign/113367/
[2] https://dfi.kaspersky.com/stealers
[3] https://kas.pr/re3t
[4] https://xtraining.kaspersky.com/courses/windows-incident-response/
[5] https://www.kaspersky.de/password-manager