{"id":28504,"date":"2022-04-26T13:37:09","date_gmt":"2022-04-26T11:37:09","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28504"},"modified":"2022-04-26T13:37:09","modified_gmt":"2022-04-26T11:37:09","slug":"lazarus-defi-wallet-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/lazarus-defi-wallet-backdoor\/28504\/","title":{"rendered":"Lazarus-Backdoor in DeFi-Wallet"},"content":{"rendered":"

Mitte Dezember letzten Jahres wurde bei VirusTotal eine verd\u00e4chtige Datei hochgeladen \u2013 ausgerechnet dem Onlinedienst, der Dateien auf Malware scannt. Auf den ersten Blick erweckte die Datei den Anschein eines Wallet-Installers f\u00fcr Kryptow\u00e4hrungen. Bei einer genaueren Analyse<\/a> stellten unsere Experten jedoch fest, dass beim Download nicht nur das Wallet, sondern auch Malware auf das Ger\u00e4t des Nutzers geladen wird. Das Programm scheint das Werk der ber\u00fcchtigten Lazarus<\/a>-Gruppe zu sein.<\/p>\n

Was ist Lazarus?<\/h2>\n

Lazarus ist eine APT-Gruppe<\/a>. Solche Gruppen sind cyberkriminelle Organisationen, die in der Regel gut finanziert sind, komplexe Malware entwickeln und sich auf zielgerichtete Angriffe<\/a> spezialisiert haben \u2013 beispielsweise auf Spionageangriffe in den Bereichen Industrie oder Politik. Gelddiebstahl ist dabei normalerweise nicht ihr prim\u00e4res Ziel. Lazarus hat sich jedoch genau darauf spezialisiert. 2016 etwa machte sich die Gruppe mit einer ordentlichen Summe<\/a> der Zentralbank von Bangladesch davon; 2018 infizierten<\/a> die Cyberkriminellen ein Krypto-Wallet mit Malware und im Jahr 2020 versuchten sie sich an Ransomware<\/a>.<\/p>\n

DeFi-Wallet mit Backdoor<\/h2>\n

Die Datei, die das kollektive Interesse unserer Forscher weckte, enthielt ein infiziertes Installationsprogramm f\u00fcr ein legitimes dezentrales Krypto-Wallet. DeFi (dezentralisierte Finanzm\u00e4rkte) ist ein Finanzmodell, bei dem es keine Vermittler wie Banken gibt und alle Transaktionen direkt zwischen den Nutzern abgewickelt werden. In den letzten Jahren hat die DeFi-Technologie an Popularit\u00e4t gewonnen. Laut Forbes beispielsweise stieg der Wert der in DeFi-Systemen angelegten Verm\u00f6genswerte von Mai 2020 bis Mai 2021 um das 88-fache<\/a>. Es \u00fcberrascht daher nicht, dass DeFi zunehmend das Interesse von Cyberkriminellen weckt.<\/p>\n

Wie genau Cyberkriminelle Opfer dazu bringen, die infizierte Datei herunterzuladen und auszuf\u00fchren, ist nicht ganz klar. Unsere Experten gehen jedoch davon aus, dass Angreifer den Nutzern zielgerichtete E-Mails<\/a> oder Nachrichten in sozialen Netzwerken schicken. Im Gegensatz zu Massenmailings sind solche Nachrichten auf einen bestimmten Empf\u00e4nger zugeschnitten und k\u00f6nnen einen sehr plausiblen Anschein erwecken.<\/p>\n

Wenn der Benutzer das Installationsprogramm ausf\u00fchrt, erstellt es zwei ausf\u00fchrbare Dateien: ein Schadprogramm und ein makelloses Krypto-Wallet-Installationsprogramm. Die Malware tarnt sich als Google-Chrome-Browser und versucht, die Existenz des infizierten Installers zu verbergen, indem sie umgehend einen sauberen Installer ausf\u00fchrt, damit der Benutzer nichts ahnt. Nach erfolgreicher Installation des Wallets l\u00e4uft die Malware im Hintergrund weiter.<\/p>\n

Wie gef\u00e4hrlich ist die Malware?<\/h2>\n

Die Malware, die \u00fcber das DeFi-Wallet auf den Computer geschleust wird, ist eine Backdoor. Abh\u00e4ngig von den Absichten der Kriminellen kann die Backdoor Informationen sammeln oder das Ger\u00e4t fernsteuern. Konkret kann sie:<\/p>\n