Eine neue bösartige Kampagne, die geknackte Software nutzt, die auf SourceForge, einem beliebten Open-Source-Repository, hochgeladen wurde, beunruhigt Cybersicherheitsexperten. Forscher des Sicherheitsteams von ThreatLabz bei ZSCALER haben eine ausgeklügelte Strategie entdeckt, die kompromittierte Versionen legitimer Anwendungen verwendet, um Malware Clipper und Kryptominer zu verbreiten.
Das Hauptziel besteht darin, illegal zu monetarisieren, indem die Ressourcen der Computer der Opfer für das Mining von Kryptowährungen ausgenutzt werden und gleichzeitig digitale Adressen abgefangen werden, um kryptografische Transaktionen auf von den Angreifern kontrollierte Konten umzuleiten.
Kompromittierte Software, die als beliebte Werkzeuge getarnt ist
Böswillige Akteure haben kompromittierte Versionen von gängiger Software auf SourceForge hochgeladen, wie zum Beispiel:
- Apple-Sicherheitsupdate
- Google Chrome
- Windows Defender
- Zoom
- Erweiterter IP -Scanner
- Crystaldiskinfo
- CPU-Z
Diese Dateien, die anscheinend mit den Originalen identisch sind, enthalten bösartigen Code. Dank des Rufs von SourceForge und der Beliebtheit der ausgewählten Software gelingt es den Angreifern, zahlreiche Benutzer dazu zu bringen, diese infizierten ausführbaren Dateien ohne Verdacht herunterzuladen.
Infektionsmechanismus: Täuschung und stille Persistenz
Sobald der Benutzer das infizierte Programm ausführt, geht die Malware mit einer Methode in zwei Phasen vor:
1. Dropper und AutoIt Compiler: Ein in AutoIt geschriebener Dropper wird ausgeführt, eine beliebte Skriptsprache, die es ermöglicht, Vorgänge in Windows zu automatisieren. Dieser Dropper hat die Aufgabe, andere bösartige Komponenten wie Clipper und cryptominer heimlich zu installieren.
2. Installation und Persistenz: Die schädlichen Payloads werden in vordefinierten Windows-Verzeichnissen versteckt, oft mit Namen, die Systemdateien imitieren, um nicht bemerkt zu werden. Außerdem archivieren die Angreifer die Malware in komprimierten Dateien, passwortgeschütztund verwenden Erweiterungen wie `.ocx` (typischerweise für ActiveX-Bibliotheken verwendet), um ihre wahren Absichten weiter zu verschleiern.
Das System gewährleistet Persistenz auf dem infizierten Gerät, indem es Registrierungseinträge und Verknüpfungen im Autostart-Ordner erstellt, sodass sie bei jedem Neustart ausgeführt werden.
Clipper: Umleitung von Kryptowährungen mit einem Kopier-und-Einfüge-Trick
Der Clipper-Malware ist darauf ausgelegt, ein weit verbreitetes Verhalten unter den Nutzern von Kryptowährungen auszunutzen: das Kopieren und Einfügen von Wallet-Adressen.
Sobald es aktiv ist, überwacht der Clipper kontinuierlich den Inhalt der Zwischenablage des Systems auf Muster, die mit Die Brieftaschenadresse von Bitcoin, Ethereum oder anderen Token übereinstimmen. Wenn er eine Adresse identifiziert, ersetzt er sie leise durch eine von den Angreifern kontrolliertewodurch potenzielle Transaktionen abgefangen werden.
Diese Technik ist äußerst hinterhältig: Der Benutzer, überzeugt davon, seine eigene Adresse kopiert zu haben, sendet in Wirklichkeit die Gelder an das Konto des Cyberkriminellen, ohne es zu bemerken.
Cryptominer: der Diebstahl von Ressourcen durch Herunterladen infizierter Software
Neben dem Clipper verwendet die Malware einen Cryptominer, um die Rechenleistung der infizierten Maschine auszunutzen, um illegal Kryptowährungen zu minen, typischerweise Monero (XMR)das in der Welt des Cyberkriminalität für seine anonyme Natur geschätzt wird.
Der Miner verwendet Werkzeuge wie Xmrigdie oft modifiziert werden, um eine Antivirus-Erkennung zu vermeiden. Der Code ist darauf abgestimmt, im Hintergrund zu arbeiten und Ressourcen so zu nutzen, dass keine offensichtlichen Verdachtsmomente entstehen, obwohl der Benutzer mit der Zeit möglicherweise Verlangsamungen, Überhitzungen des Geräts und einen Anstieg des Energieverbrauchs bemerken könnte.
Ein sorgfältig aufgebauter Angriff
Eines der tückischsten Elemente dieser Kampagne ist ihre strategische Raffinesse. Die beteiligten Akteure haben verschiedene Techniken angewandt, um der Entdeckung zu entgehen:
- Verwendung von AutoIt-Spracheum Antivirensysteme zu verwirren.
- Verteilung über einen Kanal, der allgemein als zuverlässig angesehen wird, wie SourceForge.
- Verwendung von ausführbaren Dateien, die legitime Software simulierenwas es dem Benutzer erschwert, sie von den Originalen zu unterscheiden.
- Kodierung schädlicher Komponenten in passwortgeschützten Dateien, um die automatische Analyse durch Sicherheitssysteme zu erschweren.
- Verwendung unkonventioneller Erweiterungen für Malware-Dateien.
Die Ratschläge der Experten zum Schutz
Cybersicherheitsexperten betonen die Bedeutung, Software nur aus offiziellen und vertrauenswürdigen Quellen herunterzuladen. SourceForge wird normalerweise als sicher angesehen, aber das Hochladen von kompromittierter Software durch böswillige Dritte hat gezeigt, dass auch historische Plattformen zu einem Träger von *bösartiger Software* werden können.
Außerdem ist es wichtig, aktualisierte Antivirenlösungen zu verwenden, die Nutzung der Systemressourcen regelmäßig zu überwachen und auf ungewöhnliches Verhalten des Computers zu achten, wie plötzliche Verlangsamungen oder ständig aktive Lüfter.
Ein sich ständig weiterentwickelnder Kampf
Dieser Angriff zeigt einmal mehr, wie sich die Bedrohungslandschaft im Bereich der Cyberkriminalität ständig weiterentwickelt. Die Cyberkriminellen verfügen nicht nur über fortgeschrittene technische Fähigkeiten, sondern sind auch geschickt darin, täuschende, gut orchestrierte Kampagnen zu erstellen, die effektiv zuschlagen können.
Die Kombination von clipper und miner in scheinbar harmlosen Dateien stellt eine doppelte Bedrohung dar: Nicht nur das digitale Portemonnaie der Nutzer wird gefährdet, sondern auch ihr Gerät wird langfristig genutzt, um die Cyberkriminellen zu bereichern.
Die einzige wirklich wirksame Waffe bleibt das Bewusstsein der Nutzer zusammen mit guten Praktiken der digitalen Sicherheit. Auf dem Laufenden zu bleiben über neue bösartige Kampagnen und Software nur aus zertifizierten Quellen zu installieren, sind die ersten Schritte, um sich vor immer raffinierteren Angriffen zu schützen.
Dieser Beitrag ist ein öffentlicher RSS Feed. Sie finden den Original Post unter folgender – Link steht im Artikel – Quelle (Website) .
Unser Portal ist ein RSS-Nachrichtendienst und distanziert sich vor Falschmeldungen oder Irreführung. Unser Nachrichtenportal soll lediglich zum Informationsaustausch genutzt werden. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. Kryptohandel hat ein großes Handelsrisiko was zum Totalverlust führen kann.
