Auch in Deutschland: Tausende Scriptkiddies fallen auf Fake-Malware-Builder rein
Sicherheitsforscher von CloudSEK haben eine eher ungewöhnliche Malware-Kampagne aufgedeckt, die weniger auf die breite Masse an Internetnutzern als vielmehr auf sogenannte Scriptkiddies abzielte – also auf Cyberakteure, die zwar kriminelle Absichten verfolgen, aber eher unerfahren sind und daher häufig nur Tools oder Skripte ausführen, bei denen sie selbst gar nicht verstehen, wie diese im Detail funktionieren.
Wie die CloudSEK-Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erläutern, verleiteten erfahrenere Angreifer massenhaft Scriptkiddies zur Installation einer trojanisierten Version eines Malware-Builders für den Trojaner XWorm. Insgesamt wurden auf diesem Wege weltweit mehr als 18.000 Systeme kompromittiert und mit einer Backdoor ausgestattet.
Verbreitet wurde der Fake-Malware-Builder den Angaben nach über ein Github-Repository, Telegram sowie verschiedene Foren und Filesharing-Dienste. Wer das Tool herunterlädt, fängt sich laut CloudSEK selbst einen Trojaner ein, der unter anderem sensible Informationen wie Browserdaten und Zugangsdaten sowie Daten von Kommunikationsdiensten wie Discord und Telegram exfiltriert.
Infizierte Systeme auch in Deutschland
Besonders viele infizierte Systeme konnten die Forscher in Russland (2.478), den USA (1.540), Indien (934), der Ukraine (887) und der Türkei (863) ausfindig machen. Deutschland steht mit 511 Infektionen auf dem siebten Platz und kommt damit bezogen auf die weltweit insgesamt 18.459 kompromittierten Systeme auf einen Anteil von rund drei Prozent.
Die Steuerung der Malware erfolgte den Angaben nach über Telegram. Damit konnten die Angreifer Befehle an die infizierten Systeme übermitteln und Daten ausleiten. Laut CloudSEK wurde auf diesem Wege mindestens 1 GByte an Browser-Anmeldeinformationen von mehreren Geräten exfiltriert. Auch Funktionen zur Erfassung von Tastatureingaben sowie zur Erstellung von Bildschirmaufnahmen wurden in der Backdoor entdeckt.
Eine Funktion erwies sich als besonders nützlich für die Aufräumarbeiten der Forscher: Die Malware lauschte auch auf ein per Telegram verschicktes Uninstall-Kommando. Damit konnte das Forscherteam einen Großteil der infizierten Systeme aus der Ferne bereinigen. In dem Bericht wird jedoch betont, dass wahrscheinlich nach wie vor einige Systeme infiziert sind – etwa weil diese zum Zeitpunkt der Befehlsausführung offline waren oder die Ratenbegrenzung von Telegram die jeweilige Befehlsübermittlung unterbrach.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.