Cyberkriminelle haben eine ausgeklügelte Malware-Kampagne gestartet, bei der vertrauenswürdige Plattformen wie GitHub, SourceForge, YouTube und VirusTotal genutzt werden, um schädliche Software legitim erscheinen zu lassen. Laut neuen Erkenntnissen des Cybersicherheitsunternehmens Check Point sind vor allem Kryptoinvestoren und Online-Glücksspieler im Visier. Die Angreifer locken Opfer mit Software, die schnelle Gewinne verspricht, in Wirklichkeit aber darauf abzielt, Kryptowährungen zu stehlen.
Laut Check Point verbreiteten die Kriminellen verschiedene Programme, die Nutzern beim Handel mit Kryptowährungen oder bei der Vorhersage von Online-Glücksspielergebnissen helfen sollten. Dazu gehörten sogenannte Sniperbots für Krypto und Tools, die vorgaben, die Ergebnisse beliebter Glücksspiele vorhersagen zu können.
Nach der Installation stellte sich jedoch heraus, dass die Software Malware enthielt, die speziell darauf ausgelegt war, Kryptotransaktionen abzufangen. Die Malware nutzt eine Technik, die als Clipper bekannt ist. Dabei überwacht das Programm kontinuierlich die Zwischenablage eines Computers auf Wallet-Adressen.
Wenn ein Nutzer eine Wallet-Adresse kopiert, um Kryptowährungen zu senden, ersetzt die Malware diese heimlich durch eine Adresse der Angreifer. Das Opfer glaubt, eine normale Transaktion durchzuführen, während die Kryptowährungen direkt an Kriminelle gesendet werden.
Die Forscher entdeckten mehr als 15.500 Wallet-Adressen, die von der Malware verwendet wurden. Darunter befanden sich Adressen für Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Dogecoin (DOGE), Cardano (ADA) und Litecoin (LTC).
Laut Check Point werden diese Adressen regelmäßig ersetzt, sobald ein erfolgreicher Diebstahl stattgefunden hat. Dadurch wird es für Forscher erheblich schwieriger, Geldströme auf der Blockchain zu verfolgen.
Was diese Kampagne besonders macht, ist die Art und Weise, wie die Angreifer Vertrauen zu gewinnen versuchen. Die Malware wurde auf GitHub und SourceForge gehostet, Plattformen, die normalerweise für legitime Softwareprojekte genutzt werden.
Um die Software vertrauenswürdig erscheinen zu lassen, manipulierten die Kriminellen verschiedene Reputationssysteme. So wurden GitHub-Sterne, Forks, Nutzerbewertungen und Downloadzahlen künstlich erhöht. Auch auf VirusTotal erschienen positive Reaktionen, in denen Nutzer behaupteten, die Software sei sicher.
Zudem entdeckten Forscher ein Netzwerk von kooperierenden GitHub-Accounts, die sich gegenseitig aktiv unterstützten. Diese sogenannten „Ghost Networks“ gaben sich gegenseitig Sterne, traten als Mitwirkende auf und förderten Repositories, um den Eindruck zu erwecken, dass es sich um populäre Software handelte.
Laut Check Point zeigt dieser Ansatz, wie Cyberkriminelle zunehmend professioneller vorgehen, um potenzielle Opfer zu täuschen.
Die Forscher beobachteten, dass die Kampagne beträchtliche Reichweite aufbauen konnte. Allein über GitHub wurden mehr als 5.000 Downloads registriert.
Ein bemerkenswertes Beispiel war Aviator Predictor, ein Programm, das vorgab, das Ergebnis des beliebten Online-Spiels Aviator vorhersagen zu können. Die macOS-Version dieser Software wurde mehr als 1.250 Mal heruntergeladen.
Auch auf SourceForge fielen die Zahlen ins Auge. Dort wurden über 44.000 Downloads registriert. Ein Großteil davon schien aus Pakistan und Indien zu stammen. Bemerkenswerterweise kamen mehr als 37.000 Downloads von Android-Geräten, obwohl die Software ausschließlich für Windows und macOS verfügbar war.
Laut Check Point könnte dies auf den Einsatz einer Gerätefarm hindeuten. Dabei werden große Mengen automatisierter Geräte verwendet, um Downloadzahlen künstlich in die Höhe zu treiben und Software populärer erscheinen zu lassen.
Die Promotion beschränkte sich nicht auf Softwareplattformen. Die Angreifer betrieben auch einen YouTube-Kanal mit über 91.000 Abonnenten. Dort erschienen Videos, in denen die Programme von einem KI-generierten Moderator vorgeführt wurden.
Durch die Kombination von Bildschirmaufnahmen mit künstlich generierten Moderatoren entstand laut den Forschern ein glaubhafter Eindruck von Legitimität. Zudem wurden auf verschiedenen Nachrichtenwebsites Werbeartikel platziert, um der Kampagne zusätzliche Reichweite zu verschaffen.
Check Point warnt, dass Cyberkriminelle zunehmend Reputationssysteme, soziale Medien und KI-Inhalte nutzen, um Vertrauen zu gewinnen. Dadurch wird es für Verbraucher immer schwieriger, legitime Software von schädlichen Programmen zu unterscheiden.
Bei dem G7-Gipfel im französischen Évian-les-Bains äußerten die Mitgliedstaaten ihre „tiefe Besorgnis“ über die militärischen Aktivitäten Nordkoreas.
Das Blockchainprojekt Aztec wurde erneut gehackt. Innerhalb weniger Tage verlor das Ökosystem über 4 Millionen Dollar durch veraltete Systeme.
Sicherheitsforscher haben Malware in Downloads der Steam Workshop-Plattform, dem beliebten Marktplatz des Game-Stores Steam, entdeckt.
Wird der Wert von XRP durch Spekulation oder echten Einsatz bestimmt? Analyst Eri erklärt, wie kollektives Vertrauen den Kurs beeinflusst.
XRP-Investoren verkaufen zunehmend mit Verlust, ein Signal, das laut On-Chain-Daten häufig in der Nähe von Tiefpunkten auftritt.
Ein Analyst prognostiziert einen bedeutenden Kursanstieg für XRP und verweist auf eine wichtige Unterstützungsmarke. Es handelt sich jedoch um eine spekulative Einschätzung.
