Der IT-Sicherheitshersteller ESET gibt mit seinem Threat Report regelmäßig Updates über die aktuelle Lage in der Cybersicherheit. In der neuesten Ausgabe fassen die ESET Analysten ihre Ergebnisse aus dem Zeitraum von Dezember 2023 bis Mai 2024 zusammen. Herausgekommen sind zahlreiche neue und bekannte Bedrohungen für Internetnutzer und Unternehmen, darunter Infostealing-Malware, die sich als generative KI-Tools ausgeben oder Videospieler angreift. Auch deutsche Nutzer waren hiervon betroffen. Auch eine neue mobile Malware namens GoldPickaxe, die vor allem in Südostasien und Südamerika aktiv ist, wird im Bericht näher untersucht. Der gesamte Report ist unter diesem Link verfügbar.
Gamer sind lukrative Ziele für Hacker
„Cyberkriminelle nehmen Gamer ins Visier, die sich außerhalb des offiziellen Gaming-Ökosystems bewegen. Einige Videospiel-Cracks und Cheating-Tools, die in Online-Multiplayer-Spielen verwendet werden, enthielten gefährliche Infostealer-Malware wie Lumma Stealer und RedLine Stealer“, sagt Jiří Kropáč, Director of ESET Threat Detection. „RedLine Stealer verzeichnete im ersten Halbjahr 2024 mehrere Spitzen in unserer Telemetrie, vor allem in Spanien, Japan und Deutschland, wo 50 Prozent der Fälle erfasst wurden. Gamer sollten ihre Software ausschließlich über offizielle und legale Quellen beziehen – nicht nur aus Sicherheitsgründen, sondern auch weil Cracks und Cheating-Werkzeuge in Multiplayer-Spielen in den meisten Fällen illegal sind.“
Bei Cracks handelt es sich um meist illegale Kopien von Computerprogrammen wie Videospiele, deren Kopierschutz ausgehebelt wurde. Cheating-Tools sind Programme, die Spielern unfaire Vorteile verschaffen.
Ebury bleibt gefährlich
Der ESET Threat Report enthält die zudem die neuesten Erkenntnisse über eine der fortschrittlichsten serverseitigen Malware-Gefahren: Die Ebury-Gruppe mit ihrer Schadsoftware und ihrem Botnetz. Im Laufe der Jahre wurde Ebury als Backdoor eingesetzt, um fast 400.000 Linux-, FreeBSD- und OpenBSD-Server zu befallen. Ende 2023 waren immer noch mehr als 100.000 Geräte kompromittiert.
Fake-KI-Tools auf dem Vormarsch
In den letzten Monaten hat Infostealing-Malware damit begonnen, sich als generative KI-Tools zu tarnen. Im ersten Halbjahr 2024 wurde der Rilide Stealer entdeckt, der sich als KI-Assistent wie Sora von OpenAI und Gemini von Google ausgibt, um potenzielle Opfer anzulocken. In einer anderen Kampagne verbarg sich der Infostealer Vidar hinter einer angeblichen Windows-Desktop-App für den KI-Bildgenerator Midjourney. Das echte KI-Modell von Midjourney ist nur über die Messenger-Plattform Discord verfügbar. Seit 2023 hat ESET beobachtet, dass Cyberkriminelle das Thema KI zunehmend missbrauchen – ein Trend, der sich aller Voraussicht nach fortsetzen wird.
Schadhafte WordPress Plugins und Ransomware
Balada Injector ist eine Cyberbande, die für die Ausnutzung von WordPress-Plug-in-Schwachstellen berüchtigt ist. Die Gruppe wütete in der ersten Jahreshälfte 2024 weiter, kompromittierte über 20.000 Websites und verzeichnete in der ESET Telemetrie über 400.000 Treffer für die in der jüngsten Kampagne verwendeten Varianten.
Strafverfolgungsbehörden haben dem Ransomware-Spitzenreiter LockBit im Februar 2024 einen herben Schlag versetzt und nachhaltig gestört („Operation Chronos“). Dennoch verzeichnete die Telemetrie von ESET im ersten Halbjahr 2024 zwei große LockBit-Kampagnen. Dabei stellte sich allerdings heraus, dass diese das Ergebnis von LockBit-fremden Gruppen waren, die den durchgesickerten LockBit-Builder für ihre Zwecke verwendeten.
Goldgräberstimmung in Südostasien, Südamerika und -afrika
GoldPickaxe und ihre ältere Version GoldDiggerPlus sind Mobile-Malware-Varianten, die für Finanzbetrug eingesetzt werden. ESET vermutet die chinesischsprachige GoldFactory-Gruppe als Drahtzieher. Die Malware kann sowohl Android- als auch iOS-Nutzer angreifen und zielt mit lokalisierten bösartigen Apps auf Opfer in Südostasien ab. Hierbei nutzen die Hacker eine raffinierte Methode, um die Geräte ihrer Ziele zu übernehmen: Sie überzeugen ihre Opfer, ein Mobile Device Management-Profil anzulegen und schon haben sie die Kontrolle. ESET Forscher entdeckten bei der Untersuchung der Malware, dass ein Android-Vorgänger von GoldPickaxe namens GoldDiggerPlus sich ebenfalls seinen Weg nach Lateinamerika und Südafrika gebahnt hat, indem er aktiv Opfer in diesen Regionen ins Visier nahm. Mit diesen Apps hatten es die Hacker auf Zugangsdaten von Banking-Apps in den Ländern abgesehen. Diese Apps sind teilweise in der Lage, Gesichtserkennungsdaten zu stehlen, um Deepfake-Videos zu erstellen. Die Malware-Betreiber verwenden sie dann zur Authentifizierung bei Finanztransaktionen.
Zudem können die Drahtzieher mit den schadhaften Apps SMS-Nachrichten abfangen und sogar Anrufe mit ihren Opfern durchführen, wobei sie sich als Support-Mitarbeiter ausgeben.
Weitere Informationen stehen im ESET Threat Report H1 2024 zur Verfügung:
https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-threat-report-h12024.pdf