APT
Mitte Dezember letzten Jahres wurde bei VirusTotal eine verdächtige Datei hochgeladen – ausgerechnet dem Onlinedienst, der Dateien auf Malware scannt. Auf den ersten Blick erweckte die Datei den Anschein eines Wallet-Installers für Kryptowährungen. Bei einer genaueren Analyse stellten unsere Experten jedoch fest, dass beim Download nicht nur das Wallet, sondern auch Malware auf das Gerät des Nutzers geladen wird. Das Programm scheint das Werk der berüchtigten Lazarus-Gruppe zu sein.
Was ist Lazarus?
Lazarus ist eine APT-Gruppe. Solche Gruppen sind cyberkriminelle Organisationen, die in der Regel gut finanziert sind, komplexe Malware entwickeln und sich auf zielgerichtete Angriffe spezialisiert haben – beispielsweise auf Spionageangriffe in den Bereichen Industrie oder Politik. Gelddiebstahl ist dabei normalerweise nicht ihr primäres Ziel. Lazarus hat sich jedoch genau darauf spezialisiert. 2016 etwa machte sich die Gruppe mit einer ordentlichen Summe der Zentralbank von Bangladesch davon; 2018 infizierten die Cyberkriminellen ein Krypto-Wallet mit Malware und im Jahr 2020 versuchten sie sich an Ransomware.
DeFi-Wallet mit Backdoor
Die Datei, die das kollektive Interesse unserer Forscher weckte, enthielt ein infiziertes Installationsprogramm für ein legitimes dezentrales Krypto-Wallet. DeFi (dezentralisierte Finanzmärkte) ist ein Finanzmodell, bei dem es keine Vermittler wie Banken gibt und alle Transaktionen direkt zwischen den Nutzern abgewickelt werden. In den letzten Jahren hat die DeFi-Technologie an Popularität gewonnen. Laut Forbes beispielsweise stieg der Wert der in DeFi-Systemen angelegten Vermögenswerte von Mai 2020 bis Mai 2021 um das 88-fache. Es überrascht daher nicht, dass DeFi zunehmend das Interesse von Cyberkriminellen weckt.
Wie genau Cyberkriminelle Opfer dazu bringen, die infizierte Datei herunterzuladen und auszuführen, ist nicht ganz klar. Unsere Experten gehen jedoch davon aus, dass Angreifer den Nutzern zielgerichtete E-Mails oder Nachrichten in sozialen Netzwerken schicken. Im Gegensatz zu Massenmailings sind solche Nachrichten auf einen bestimmten Empfänger zugeschnitten und können einen sehr plausiblen Anschein erwecken.
Wenn der Benutzer das Installationsprogramm ausführt, erstellt es zwei ausführbare Dateien: ein Schadprogramm und ein makelloses Krypto-Wallet-Installationsprogramm. Die Malware tarnt sich als Google-Chrome-Browser und versucht, die Existenz des infizierten Installers zu verbergen, indem sie umgehend einen sauberen Installer ausführt, damit der Benutzer nichts ahnt. Nach erfolgreicher Installation des Wallets läuft die Malware im Hintergrund weiter.
Wie gefährlich ist die Malware?
Die Malware, die über das DeFi-Wallet auf den Computer geschleust wird, ist eine Backdoor. Abhängig von den Absichten der Kriminellen kann die Backdoor Informationen sammeln oder das Gerät fernsteuern. Konkret kann sie:
- Prozesse starten und beenden;
- Befehle auf dem Gerät ausführen;
- Dateien herunterladen, löschen und Dateien vom Gerät an den C&C-Server senden.
Mit anderen Worten: Im Falle eines erfolgreichen Angriffs kann die Malware das Antivirenprogramm deaktivieren und beliebige Dinge entwenden – von wertvollen Dokumenten bis hin zu Konten und Geld. Darüber hinaus kann sie auf Wunsch der Cyberkriminellen weitere Schadprogramme auf den Computer herunterladen. Weitere Details finden Sie wie immer in der technischen Aufschlüsselung des Trojaners auf unserem Expertenblog Securelist.
So können Sie sich schützen
Wenn Sie viel mit Finanzen und insbesondere mit Kryptowährungen zu tun haben, sollten Sie bei Nachrichten, in denen Sie dazu verleitet werden, Programme aus nicht vertrauenswürdigen Quellen zu installieren, hellhörig werden. Darüber hinaus sollten Sie [KIS PLACEHOLDER]sicherstellen, dass Ihre Geräte gut geschützt sind[/KIS PLACEHOLDER] – insbesondere solche, die Sie für Transaktionen mit Kryptowährungen verwenden. Wenn bloße Aufmerksamkeit nicht mehr ausreicht, hilft eine zuverlässige Sicherheitslösung.
Tipps