In seinem neuesten „Crimeware Report“ teilt der Sicherheitsanbieter Kaspersky die Erkenntnisse seiner Forschungsabteilung zu drei Schadprogrammen, deren Verbreitung aktuell zu beobachten ist. Erstmals im Juli 2023 aufgetaucht ist eine Schadsoftware namens „Lumar“, ein sogenannter Multi-Purpose-Stealer. Als Stealer verfügt die Malware über die Features, Passwörter, Cookies und AutoFill-Daten sowie Daten aus verschiedenen Krypto-Wallets zu stehlen. Zusätzlich kann „Lumar“ auch noch Desktop-Dateien der Nutzer abrufen und besitzt eine spezifische Erweiterung, um Telegram-Sessions aufzuzeichnen. Sobald „Lumar“ ausgeführt wird, sammelt die Malware Systeminformationen und Nutzerdatzen und sendet sie an einen C2-Server (Command-and-Control). Der vom Entwickler der Schadsoftware gehostete Command-and-Control-Server bietet die Malware as a Service an und stellt seinen kriminellen „Kunden“ nutzerfreundliche Funktionen wie Statistiken und Datenprotokolle zur Verfügung. Zu dem MaaS-Angebot gehört, dass sich die kriminellen „Kunden“ auch über Telegram benachrichtigen lassen können, wenn neue gestohlene Daten eingehen.
Auch eine neues Angebot von Ransomware-as-a-Service haben die Kaspersky-Experten entdeckt. Die schon etwas länger bekannte Ransomware „Rhysida“ hat augenscheinlich die zunächst bestehenden Startschwierigkeiten bei der Konfiguration des Onion-Servers bewältigten und wird nun im Darknet verstärkt angeboten und nachgefragt. Um ein Netzwerk anzugreifen und sich darin auszubreiten, nutzt „Rhysida“ nicht etwa nur Sicherheitslücken aus; die Schadsoftware setzt teilweise auch legitime Tools ein, so etwa solche, die eigentlich als Hilfsprogramme bei Fernwartungen verwendet werden. Die in C++ geschriebene und mit MinGW sowie Shared Libraries kompilierte Malware ist mit Windows-Versionen älter als Windows 10 kompatibel und besitzt ein äußerst ausgeklügeltes Design. Unter anderem ist die Schadsoftware in der Lage, sich selbst zu löschen und die Spuren eines Cyber-Angriffs zu verwischen.
Außerdem entdeckten die Cyber-Sicherheitsexperten des weltweit agierenden Anbieters eine Cyber-Crime-Kampagne, die bereits seit Dezember 2022 ein in Südamerika weitverbreitetes Bezahlsystem im Visier hat. Über irreführende Anzeigen im Web wurden Nutzer umgeleitet, die das insbesondere in Brasilien beliebte Bezahlsystem PIX nutzen wollten und landeten bei „GoPix“. Die Malware ist darauf ausgelegt, Transaktionsdaten zu stehlen und zu manipulieren, und reagiert auf Befehle eines Command-and-Control-Servers. Interessanterweise nutzt „GoPIX“ selbst ein Anti-Fraud-Tool: Um echte Nutzer von Bots zu unterscheiden, setzt „GoPIX“ ein Tool von IP Quality Score ein. „Angesichts der steigenden Zahl von Cyberbedrohungen, die finanziell motiviert sind,“ schreibt Jornt van der Wiel, Senior Security Researcher in Kasperskys Global Research & Analysis Team, „raten wir nachdrücklich zu einer robusten Cybersicherheitsstrategie, die derartige Bedrohungen wirksam abwehrt.“
Weitere Informationen zu den Cyberbedrohungen sind verfügbar unter
https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
