Cybersicherheitsforscher haben ein raffiniertes Information-Stealing-Kampagne aufgedeckt, bei der russischsprachige Cyberkriminelle unter dem Codenamen “Tusk” legitime Marken imitieren, um Malware wie DanaBot und StealC zu verbreiten. Diese Aktivitäten umfassen mehrere Unter-Kampagnen, die den Ruf der Plattformen nutzen, um Benutzer dazu zu bringen, die Malware über gefälschte Websites und Social-Media-Konten herunterzuladen.
Laut Kaspersky-Forschern Elsayed Elrefaei und AbdulRhman Alfaifi hosten alle aktiven Unter-Kampagnen den Initial-Downloader auf Dropbox. Dieser Downloader ist dafür verantwortlich, zusätzliche Malware-Proben auf das Gerät des Opfers zu liefern, hauptsächlich Info-Stealer (DanaBot und StealC) und Clipper.
Von den bisher identifizierten 19 Unter-Kampagnen sind drei derzeit aktiv. Die Kampagnen sind auch bemerkenswert, weil sie Phishing-Taktiken einsetzen, um Opfer dazu zu bringen, ihre persönlichen und finanziellen Informationen preiszugeben, die dann im Darknet verkauft oder verwendet werden, um unbefugten Zugriff auf ihre Gaming-Konten und Kryptowährungs-Geldbörsen zu erlangen.
Die erste Unter-Kampagne, bekannt als TidyMe, imitiert peerme[.]io mit einer täuschend echten Website, die auf tidyme[.]io gehostet wird und einen Klick zum Herunterladen eines bösartigen Programms für Windows- und macOS-Systeme anfordert, das von Dropbox bereitgestellt wird.
Der Downloader ist eine Electron-Anwendung, die beim Starten den Opfer auffordert, das angezeigte CAPTCHA einzugeben, woraufhin die Hauptanwendungsoberfläche angezeigt wird, während im Hintergrund zwei zusätzliche bösartige Dateien heimlich abgerufen und ausgeführt werden.
Beide in der Kampagne beobachteten Payloads sind Hijack Loader-Artefakte, die letztendlich eine Variante der StealC-Stealer-Malware starten, die in der Lage ist, eine breite Palette von Informationen zu sammeln.
Die zweite Unter-Kampagne, RuneOnlineWorld (“runeonlineworld[.]io”), beinhaltet die Verwendung einer gefälschten Website, die ein Massively Multiplayer Online (MMO) Spiel namens Rise Online World simuliert, um einen ähnlichen Downloader zu verbreiten, der den Weg für DanaBot und StealC auf kompromittierten Hosts ebnet.
Auch in dieser Kampagne wird über Hijack Loader eine auf Go basierende Clipper-Malware verteilt, die dazu dient, den Inhalt der Zwischenablage zu überwachen und die von dem Opfer kopierten Wallet-Adressen durch eine vom Angreifer kontrollierte Bitcoin-Wallet zu ersetzen, um betrügerische Transaktionen durchzuführen.
Die aktiven Kampagnen zeigen die anhaltende und sich entwickelnde Bedrohung durch Cyberkriminelle, die geschickt legitime Projekte nachahmen, um Opfer zu täuschen. Die Verwendung von Social Engineering-Techniken wie Phishing in Kombination mit mehrstufigen Malware-Verbreitungsmechanismen unterstreicht die fortschrittlichen Fähigkeiten der beteiligten Akteure.
Durch die Ausnutzung des Vertrauens, das Benutzer in bekannte Plattformen setzen, setzen diese Angreifer effektiv eine Reihe von Malware ein, die darauf abzielt, sensible Informationen zu stehlen, Systeme zu kompromittieren und letztendlich finanziellen Gewinn zu erzielen.
Wir empfehlen dringend, dass Unternehmen ihre IT-Sicherheitsmaßnahmen verstärken und Mitarbeiter über die Bedrohungen durch Phishing und Social Engineering aufklären. Die Implementierung von Cloud-Services und IT-Sicherheitslösungen kann dazu beitragen, die Angriffsfläche zu reduzieren und die Unternehmensdaten zu schützen.
Wir werden Sie weiterhin über aktuelle Entwicklungen im Bereich der Cybersicherheit auf dem Laufenden halten. Folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu erhalten.
Quelle: https://ift.tt/6tqUyPA
Mit freundlichen Grüßen,
Ihr Cybersicherheitsteam