- Die Betrugskampagne basiert auf gefälschten Internetseiten
- Verbreitung von Infostealern und Clippern mit Trendthemen als Aufhänger
- Die Malware-Loader-Dateien werden auf Dropbox gehostet
- Das Wort „Mammut“ im Code als Bezeichnung für „Opfer“ weist auf russischsprachige Bedrohungsakteure hin
- Kaspersky-Tipps zum Schutz vor Tusk und ähnlichen Cyberbedrohungen
- Wichtiger Hinweis: Warnung des BSI und US-Sanktionen gegen Kaspersky!
Betrugskampagne basiert auf gefälschten Internetseiten
- Die Betrugskampagne basiert auf gefälschten Internetseiten
- Verbreitung von Infostealern und Clippern mit Trendthemen als Aufhänger
- Die Malware-Loader-Dateien werden auf Dropbox gehostet
- Das Wort „Mammut“ im Code als Bezeichnung für „Opfer“ weist auf russischsprachige Bedrohungsakteure hin
- Kaspersky-Tipps zum Schutz vor Tusk und ähnlichen Cyberbedrohungen
- Wichtiger Hinweis: Warnung des BSI und US-Sanktionen gegen Kaspersky!
Das umstrittene Cybersecurity-Unternehmen Kaspersky hat eine Online-Betrugskampagne aufgedeckt, die darauf abzielt, Kryptowährungen und sensible Informationen zu stehlen. Dafür werden beliebte Themen wie web3, Krypto, KI oder Online-Gaming für schädliche Zwecke missbraucht. Die Experten vermuten, dass die Kampagne von russischsprachigen Cyberkriminellen orchestriert wird und Infostealer- sowie Clipper-Malware verbreitet. Hinter der Kampagne steht vermutlich ein russischsprachiger Akteur, da die Experten von Kaspersky im Code das russischsprachige Wort für „Mammut“ entdeckten; entsprechend nannte Kaspersky die Kampagne „Tusk“ (Stoßzahn).
Die Betrugskampagne basiert auf gefälschten Internetseiten
Das Global Emergency Response Team (GERT) von Kaspersky hat mit „Tusk“ eine Betrugskampagne aufgedeckt, die es weltweit auf Windows- und macOS-Nutzer abgesehen hat und darauf abzielt, Kryptowährungen wie Bitcoin oder Ethereum und persönliche Daten zu stehlen. Die Angreifer nutzen hierfür beliebte Themen für ihre gefälschten Webseiten, die das Design und die Nutzeroberfläche verschiedener legitimer Dienste täuschend ähnlich imitieren.
Zuletzt ahmten diese Websites vornehmlich eine Krypto-Plattform, ein Online-Rollenspiel und einen KI-Übersetzer nach. Obwohl sich die schädlichen Websites in einigen Elementen wie dem Namen und der URL geringfügig unterscheiden, wirken sie legitim; dies erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Verbreitung von Infostealern und Clippern mit Trendthemen als Aufhänger
Die Opfer werden durch Phishing dazu verleitet, mit diesen gefälschten Systemen zu interagieren und sensible Informationen wie beispielsweise Keys für ihre Krypto-Wallets preiszugeben oder Malware herunterzuladen. Die Angreifer erhalten daraufhin Zugriff auf die Wallet entweder über die gefälschte Website und ziehen deren Guthaben ab oder können mithilfe der Infostealer-Malware Anmeldedaten, Wallet-Details und andere Informationen stehlen.
Die Kampagne verbreitet Infostealer-Malware wie Danabot und Stealc sowie eine in Go geschriebene Open-Source-Variante einer Clipper-Malware. Die eingesetzte Malware variiert je nach Kampagnenthema. Infostealer sind darauf ausgelegt, sensible Informationen wie Anmeldedaten zu stehlen, während Clipper die Daten in der Zwischenablage überwachen. Wenn eine Krypto-Wallet-Adresse in die Zwischenablage kopiert wird, ersetzt der Clipper sie durch eine schädliche Adresse.
Die Malware-Loader-Dateien werden auf Dropbox gehostet
Sobald die Opfer diese heruntergeladen haben, stoßen sie auf nutzerfreundliche Oberflächen, die als Tarnung für die Malware dienen. Sie werden aufgefordert, sich entweder anzumelden, zu registrieren oder einfach auf einer statischen Seite zu bleiben. In der Zwischenzeit werden die restlichen schädlichen Dateien und Payloads automatisch heruntergeladen und auf dem System des Betroffenen installiert.
Die Korrelation zwischen den verschiedenen Teilen dieser Kampagne und ihrer gemeinsamen Infrastruktur lässt auf eine gut organisierte Operation schließen – möglicherweise eines einzelnen Akteurs oder einer Gruppe, der oder die spezifische finanzielle Motive verfolgen, so die Kaspersky-Analyse. Zusätzlich zu den drei Unterkampagnen, die sich Krypto-, KI- und Gaming-Themen bedienen, hat Kaspersky mithilfe ihrer Threat Intelligence die Infrastruktur für 16 weitere Themen identifiziert. Dabei handelt es sich entweder um ältere, inaktive Unterkampagnen oder neue, noch nicht gestartete Kampagnen.
Dies zeigt, dass die Bedrohungsakteure in der Lage sind, sich schnell an Trendthemen anzupassen und als Reaktion darauf neue schädliche Operationen durchzuführen. Deshalb ist es dringend notwendig, robuste Sicherheitslösungen einzusetzen und Cyberkenntnisse zum Schutz vor sich entwickelnden Bedrohungen auszubauen.
Das Wort „Mammut“ im Code als Bezeichnung für „Opfer“ weist auf russischsprachige Bedrohungsakteure hin
Kaspersky entdeckte in dem an die Server der Angreifer gesendeten Schadcode russischsprachige Strings, darunter das Wort „Mammut“ (russisch „Мамонт“). Dieses wird von russischsprachigen Bedrohungsakteuren umgangssprachlich als Bezeichnung für „Opfer“ verwendet und tauchte sowohl in der Serverkommunikation als auch in den Malware-Download-Dateien auf.
Kaspersky nannte die Kampagne folglich „Tusk“ (Stoßzahn), um eine Analogie zu Mammuts zu ziehen und das Ziel des finanziellen Gewinns – wie bei der Jagd nach wertvollen Stoßzähnen – zu unterstreichen.
Kaspersky-Tipps zum Schutz vor Tusk und ähnlichen Cyberbedrohungen
+ Überprüfen, ob die Anmeldeinformationen für Geräte oder Webanwendungen von Datendieben kompromittiert wurden. Dies ist über die speziell dafür aufgesetzte Landing Page für Kaspersky Digital Footprint Intelligence möglich.
+ Um sich vor Malware zum Diebstahl von Daten und Krypto-Bedrohungen zu schützen, für jedes Gerät eine umfassende Sicherheitslösung wie beispielsweise Kaspersky Premium verwenden. Dadurch werden Infektionen verhindert und der Nutzer vor Gefahren wie verdächtigen Websites oder Phishing-E-Mails, die eine erste Angriffsfläche für eine Infektion darstellen können, gewarnt. Alle neuen Schadprogramme aus der Tusk-Kampagne werden von Kaspersky-Produkten erkannt.
+ In Cybersicherheitskurse für Mitarbeiter investieren, um diese auf dem neuesten Wissensstand zu halten. Mit dem Kaspersky Expert Training on Windows Incident Response können selbst erfahrene Spezialisten zum Thema Incident Response geschult werden, um auch die komplexesten Angriffe zu erkennen. Sie erhalten fundiertes Wissen der Experten des Global Emergency Response Teams (GERT).
+ Password Manager verwenden, um den Einsatz sicherer Passwörter zu erleichtern.
Wichtiger Hinweis: Warnung des BSI und US-Sanktionen gegen Kaspersky!
Ich schätze die fundierten Informationen und aufklärenden Tipps von Kaspersky. Ich möchte allerdings ausdrücklich darauf hinweisen, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) bereits im Jahr 2022 eine Warnung bezüglich der Verwendung von Kaspersky-Produkten herausgegeben hat die nach wie vor aktuell ist.
Die Behörde hat Bedenken geäußert, dass die russische Regierung möglicherweise Zugang zu den Daten haben könnte, die von Kaspersky-Software gesammelt werden. Die US-Regierung hat mittlerweile sogar umfassende Sanktionen gegen Kaspersky umgesetzt!
Mein Fazit: Nutzen Sie vertrauensvolle und professionelle Cybersecurity-Anwendungen und investieren Sie in Cybersecurity-Aktien!
Markus Miller (geb.: 1973) ist ein gefragter Experte, wenn es um das komplexe Thema internationale Vermögensstrukturierung und die globale Steuerung von Vermögenswerten geht. Außerdem ist er Spezialist für Kryptowährungen. Er hat an der Universität Freiburg Vermögensmanagement studiert und ist ausgebildeter Bankkaufmann.
