Kampagne stiehlt sensible Informationen und Kryptowährungen

Der IT-Sicherheitsanbieter Kaspersky hat eine webgestützte Betrugskampagne aufgedeckt, die darauf abzielt, Kryptowährungen und sensible Informationen zu stehlen. Dafür werden beliebte Themen wie web3, Krypto, KI oder Online-Gaming für schädliche Zwecke missbraucht.

Die Security-Experten von Kaspersky vermuten, dass die Kampagne von russischsprachigen Cyberkriminellen orchestriert wird und Infostealer- sowie Clipper-Malware verbreitet. Die Annahme zur Herkunft der Kampagne stützt sich auf den Befund, dass sich im Code das russische Wort für „Mammut“ entdecken lässt; entsprechend nannte Kaspersky die Kampagne „Tusk“, was im Deutschen Stoßzahn bedeutet.

Vorgehen

Die Betrugskampagne nimmt Windows- und macOS-Nutzer ins Visier und hat zum Ziel, Kryptowährungen und persönliche Daten zu stehlen. Die Angreifer nutzen hierfür beliebte Themen für ihre gefälschten Webseiten, die das Design und die Nutzeroberfläche verschiedener legitimer Dienste täuschend ähnlich imitieren.

Zuletzt ahmten diese Websites vornehmlich eine Krypto-Plattform, ein Online-Rollenspiel und einen KI-Übersetzer nach. Obwohl sich die schädlichen Websites in einigen Elementen wie dem Namen und der URL geringfügig unterscheiden, wirken sie legitim; dies erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs.

Die Opfer werden durch Phishing dazu verleitet, mit diesen gefälschten Systemen zu interagieren und sensible Informationen wie beispielsweise Keys für ihre Krypto-Wallets preiszugeben oder Malware herunterzuladen. Die Angreifer erhalten daraufhin Zugriff auf die Wallet entweder über die gefälschte Website und ziehen deren Guthaben ab oder können mithilfe der Infostealer-Malware Anmeldedaten, Wallet-Details und andere Informationen stehlen.

Phishing

Die Kampagne verbreitet Infostealer-Malware wie Danabot und Stealc sowie eine in Go geschriebene Open-Source-Variante einer Clipper-Malware. Die eingesetzte Malware variiert je nach Kampagnenthema. Infostealer sind darauf ausgelegt, sensible Informationen wie Anmeldedaten zu stehlen, während Clipper die Daten in der Zwischenablage überwachen. Wenn eine Krypto-Wallet-Adresse in die Zwischenablage kopiert wird, ersetzt der Clipper sie durch eine schädliche Adresse.

Die Malware-Loader-Dateien werden auf Dropbox gehostet, so die Kaspersky-Analyse weiter. Sobald die Opfer diese heruntergeladen haben, stoßen sie auf nutzerfreundliche Oberflächen, die als Tarnung für die Malware dienen. Sie werden aufgefordert, sich entweder anzumelden, zu registrieren oder einfach auf einer statischen Seite zu bleiben. In der Zwischenzeit werden die restlichen schädlichen Dateien und Payloads automatisch heruntergeladen und auf dem System des Betroffenen installiert.

Anpassungsfähig

„Die Korrelation zwischen den verschiedenen Teilen dieser Kampagne und ihrer gemeinsamen Infrastruktur lässt auf eine gut organisierte Operation schließen – möglicherweise eines einzelnen Akteurs oder einer Gruppe, der oder die spezifische finanzielle Motive verfolgt“, erklärt Ayman Shaaban von Kaspersky. „Zusätzlich zu den drei Unterkampagnen, die sich Krypto-, KI- und Gaming-Themen bedienen, haben wir mithilfe unserer Threat Intelligence die Infrastruktur für 16 weitere Themen identifiziert.“

Dabei würde es sich entweder um ältere, inaktive Unterkampagnen oder neue, noch nicht gestartete Kampagnen handeln, so Shaaban weiter. Dies zeige, dass die Bedrohungsakteure in der Lage sind, sich schnell an Trendthemen anzupassen und als Reaktion darauf neue schädliche Operationen durchzuführen. Deshalb sei es dringend notwendig, robuste Sicherheitslösungen einzusetzen und Cyberkenntnisse zum Schutz vor sich entwickelnden Bedrohungen auszubauen, betont Kaspersky-Experte Shaaban.

Eine detaillierte technische Aufschlüsselung der Kampagne ist hier verfügbar.