In den letzten sechs Monaten tauchten vor allem Bedrohungen für das Android-Betriebssystem von Google auf, die sich auf Finanzbetrug spezialisiert haben. Im Visier der Hacker standen in erster Linie die mobilen Bankkonten. Dabei kam "traditionelle" Banking-Malware genauso zum Einsatz wie in jüngerer Zeit Kryptowährungsbetrug.
Die goldene Spitzhacke wird international
Ein kurioser Neuling in dieser Szene ist GoldPickaxe. Dabei handelt es sich um eine neue mobile Malware, die in der Lage ist, Gesichtserkennungsdaten zu stehlen, um Deepfake-Videos zu erstellen. Die Hintermänner der Schadsoftware nutzen diese Videos zur Authentifizierung bei betrügerischen Finanztransaktionen. Diese Bedrohung gibt es sowohl für Android als auch für iOS. Sie greift vor allem über lokalisierte bösartige Apps Opfer in Südostasien an. Die ESET Forscher entdeckten bei der Untersuchung dieser Malware-Familie eine ältere Android-Version von GoldPickaxe, GoldDiggerPlus. Diese hatte ebenfalls ihren Weg nach Lateinamerika und Südafrika gefunden und aktiv Opfer in diesen Regionen anvisiert.
KI-Tools im Visier
Auch Hacker gehen mit der Zeit. Deshalb tarnen sie ihre Infostealer-Malware jetzt auch als generative KI-Tools. Im ersten Halbjahr 2024 entdeckte ESET Rilide Stealer, der die Namen von generativen KI-Assistenten wie Sora von OpenAI und Gemini von Google missbrauchte, um potenzielle Opfer zu ködern. In einer anderen Kampagne verbarg sich der Infostealer Vidar hinter einer angeblichen Windows-Desktop-App für den KI-Bildgenerator Midjourney - obwohl das KI-Modell von Midjourney nur über den Messengerdienst Discord zugänglich ist. Seit 2023 beobachten die ESET Analysten zunehmend, dass Cyberkriminelle das Thema KI missbrauchen – ein Trend, der sich voraussichtlich fortsetzen wird.
Gamer werden zum Ziel von Cyberattacken
Gaming-Enthusiasten, die sich abseits offizieller Spieleplattformen bewegen, könnten zum Opfer von Infostealer-Malware werden: Bei einigen gecrackten Videospielen und Cheating-Tools, die in Online-Multiplayer-Spielen verwendet werden, wurde Infostealer-Malware wie Lumma Stealer und RedLine Stealer gefunden.
RedLine Stealer tauchte im ersten Halbjahr 2024 mehrmals in der ESET Telemetrie auf. Insbesondere einmalige Kampagnen in Spanien, Japan und Deutschland waren hierfür verantwortlich. Obwohl dieser "Infostealer-as-a-Service" seit 2023 offenbar nicht mehr aktiv weiterentwickelt wird, waren seine jüngsten Wellen so signifikant, dass die Entdeckungen von RedLine Stealer im ersten Halbjahr 2024 die von H2 2023 um ein Drittel übertrafen.
Balada Injector wieder aktiv
Balada Injector ist eine Cyberbande, die für die Ausnutzung von Schwachstellen in WordPress-Plugins berüchtigt ist. Sie wütete in der ersten Jahreshälfte weiter, kompromittierte über 20.000 Websites und verzeichnete in der ESET Telemetrie über 400.000 Treffer für die in der jüngsten Kampagne der Bande verwendeten Varianten.
Totgeglaubte leben länger?
In der Ransomware-Szene wurde der ehemalige Spitzenreiter LockBit von seinem Sockel gestoßen: Internationale Strafverfolgungsbehörden gelang im Rahmen der Operation Cronos im Februar 2024 ein deutlicher Schlag gegen die Gruppe. Trotzdem verzeichnete ESET im ersten Halbjahr 2024 zwei bemerkenswerte LockBit-Kampagnen. Es stellte sich allerdings heraus, dass LockBit-fremde Gruppen den durchgesickerten LockBit-Builder verwendeten.
Das Ebury-Botnet, das bereits im ESET Whitepaper „Operation Windigo“ aus dem Jahr 2014 untersucht wurde, ist auch zehn Jahre später noch gefährlich: Jüngste Untersuchungen der ESET Forscher ergaben, dass Ebury seit 2009 fast 400.000 Server infiziert hat. Das Toolkit des Botnets war zum Zeitpunkt der ursprünglichen Untersuchung bereits sehr umfangreich. Trotzdem zeigten die neuesten Erkenntnisse weitere Funktionen, die sich hauptsächlich darauf konzentrierten, Geld zu beschaffen – sei es per Kryptowährung oder Kreditkartendiebstahl.
Wir wünschen eine aufschlussreiche Lektüre.
