Das Sicherheitsunternehmen Kaspersky hat vor neuer Schadsoftware gewarnt, die Krypto-Nutzer über die Software-Hosting-Website SourceForge ins Visier nimmt. In einer kürzlich veröffentlichten Veröffentlichung erklärte das Unternehmen, dass das Softwareprojekt „Office Package“ auf der Website eine Malware enthalte, die Adressmanipulationen durchführt und Krypto-Nutzer angreift.
Dem Bericht zufolge handelt es sich bei der Office-Software um ein legitimes Projekt mit Microsoft Office-Add-Ins. Eine genauere Untersuchung zeigt jedoch, dass das Paket Download-Links enthält, die zu einer anderen URL führen.
Es hieß:
„Dem untersuchten Projekt wurde die Domain officepackage.sourceforge[.]io zugewiesen, aber die Seite, die beim Aufruf dieser Domain angezeigt wird, sieht überhaupt nicht wie officepackage auf sourceforge.net aus.“
Interessanterweise ist der Downloadvorgang der Schadsoftware recht komplex, da Nutzer drei URLs durchlaufen müssen, bevor sie die Datei herunterladen können. Dieser komplizierte Vorgang scheint Teil der Masche zu sein, um Nutzer in dem Glauben zu wiegen, sie würden eine legitime Anwendung herunterladen.
Kaspersky-Sicherheitsexperten stellten fest, dass die endgültige Installationsdatei installer.msi ist, eine 700 Megabyte große Datei, deren Größe von Angreifern künstlich erhöht wurde, um sie als authentisches Software-Installationsprogramm auszugeben. Nach dem Entfernen der überflüssigen Daten beträgt die tatsächliche Größe sieben Megabyte.
Durch Ausführen des Installationsprogramms installieren Nutzer unwissentlich zwei Schadprogramme auf ihren Geräten: einen Miner und ClipBanker. ClipBanker ermöglicht Adressvergiftung, indem er in die Zwischenablage kopierte Kryptoadressen durch die Adressen des Angreifers ersetzt. Dadurch werden Nutzer dazu verleitet, Gelder an die falschen Adressen zu senden.
Die Sicherheitsexperten schrieben:
„Die wichtigsten schädlichen Aktionen dieser Kampagne lassen sich auf die Ausführung zweier AutoIt-Skripte reduzieren. Icon.dll startet den AutoIt-Interpreter neu und injiziert einen Miner, während Kape.dll dasselbe tut, aber ClipBanker injiziert.“
Gleichzeitig stellten sie fest, dass der Angriff hauptsächlich auf russische Ziele abzielte. Zu den Indizien dafür zählen die russische Benutzeroberfläche der Website officepackage.sourceforge[.]io und die Tatsache, dass 90 % der 4.604 Nutzer, die zwischen Januar und Ende März mit der Schadsoftware in Kontakt kamen, Russen sind.
Adressenvergiftungsbetrug nimmt zu
Der Kaspersky-Bericht deckt sich mit dem jüngsten Anstieg von Address-Poisoning-Angriffen auf Krypto-Nutzer, wie mehrere Blockchain-Sicherheitsfirmen berichtet haben. Laut Daten von Scam Sniffer war der drittgrößte Phishing-dent im März auf Address Poisoning zurückzuführen.
Cyvers berichtete außerdem, dass durch Adressvergiftungsbetrug in den ersten drei Märzwochen ein Schaden von über 1,2 Millionen US-Dollar entstanden ist, zusätzlich zu den 1,8 Millionen US-Dollar im Februar. Das Unternehmen gab an, dass sein KI-gestütztes Bedrohungserkennungssystem einen Anstieg solcher Angriffedenthabe.
Während die meisten Address Poisoning-Angriffe darauf beruhen, dass Angreifer manuell kleine Transaktionen an die Opfer mit Adressen senden, die denen ähneln, die diese häufig verwenden, zeigt der Einsatz ausgeklügelter Malware, die es Angreifern ermöglicht, Adressen aus der Zwischenablage zu ändern, wie sich die Akteure ständig weiterentwickeln.
Sicherheitsexperten sind der Ansicht, dass die wichtigste Lösung für dieses Problem darin besteht, dass Nutzer keine Software aus nicht vertrauenswürdigen Quellen herunterladen. Sie weisen darauf hin, dass Cyberkriminelle häufig inoffizielle Software-Websites nutzen, um Schadsoftware zu verbreiten, und dass sich Nutzer solcher Websites dieses Risikos bewusst sein müssen.
Sie wiesen jedoch darauf hin, dass diese Malware ein noch größeres Problem darstellt, da sie Angreifern eine raffinierte Methode bietet, sich Zugang zu infizierten Systemen zu verschaffen. Daher besteht die Möglichkeit, dass die Entwickler sie nicht nur für Angriffe auf Krypto-Nutzer einsetzen, sondern auch an gefährlichere Kriminelle verkaufen.
