Wesentliche Erkenntnisse
- Hacker setzen jetzt Trading-Bots ein, die von der PXA Stealer-Malware über Telegram gesteuert werden.
- Opfer in 62 Ländern haben Daten, einschließlich Krypto-Wallet-Schlüssel, gestohlen bekommen.
- Telegram-Bots werden verwendet, um den Datendiebstahl und -wiederverkauf zu automatisieren.
Eine neue Welle der Cyberkriminalität breitet sich schnell aus. Diesmal wird sie von Trading-Bots, der Infostealer-Malware … und Telegram angetrieben.
Laut Forschern von SentinelOne und Beazley Security Labs ist eine massive Datendiebstahloperation im Gange, an der vietnamesischsprachige Hacker beteiligt sind.
Die Gruppe nutzt Telegram, um den Wiederverkauf gestohlener Informationen zu automatisieren und die PXA Stealer-Malware international zu verbreiten.
Wie Trading-Bots und PXA Stealer zusammenarbeiten
Die betreffende Operation erstreckt sich über 60 Länder. Sie zielt sowohl auf Einzelpersonen als auch auf Organisationen ab, und was sie von anderen Betrugsringen unterscheidet, ist die Kombination aus Malware-as-a-Service (MaaS)-Taktiken und Telegram-Bots.
Einfach ausgedrückt, die Hürde ist jetzt niedrig genug, damit neue (und sogar unerfahrene) Cyberkriminelle mitmachen können.
Die Kampagne selbst wird von dem berüchtigten PXA Stealer unterstützt, einer Python-basierten Infostealer-Malware, die still und leise wertvolle Benutzerdaten sammelt.
Sobald sie in ein System gelangt ist, schnappt sie sich Passwörter, Kreditkarteninformationen, Krypto-Wallet-Schlüssel, Browser-Cookies und sogar Screenshots.
Anschließend sendet sie alles direkt über Telegram an die Angreifer.
Laut einem Bericht von Sentinel Labs erhalten die Opfer häufig ZIP-Dateien, die legitimer Software wie Microsoft Word oder PDF-Readern ähneln.
Nach dem Öffnen lösen die Dateien das PXA Stealer-Programm aus, das dann mit dem Sammeln und Komprimieren gestohlener Daten in ZIP-Dateien beginnt. Wenn dies abgeschlossen ist, werden die Dateien an Telegram-Bots gesendet, die von Hackern gesteuert werden.
Diese Methode wird bevorzugt, weil sie anonym und einfach zu bedienen ist. Sie ermöglicht es Hackern, große Operationen mit wenig bis gar keinem Aufwand zu verwalten.
Telegram als Kommandozentrale
Telegram ist in diesem Fall nicht nur eine Messaging-App. Es hat sich zu einer vollwertigen Kommandozentrale (auch bekannt als C2) entwickelt.
Hacker nutzen es, um die gestohlenen Daten in Echtzeit zu empfangen und Bots auszuführen, die den Wiederverkauf der gestohlenen Zugangsdaten automatisieren.
Sie nutzen den Messaging-Dienst auch, um mit anderen Angreifern zu kommunizieren sowie ZIP-Malware-Kits und andere Infostealer-Tools zu verkaufen.
Sentinel Labs stellte fest, dass sie Telegram-Bots wie „Sherlock“, „Moon Cloud“ und „Daisy Cloud“ verwenden. Diese Tools bereiten die gestohlenen Daten für Käufer vor, die an Finanzbetrug, Krypto-Diebstahl oder anderen Arten der Infiltration interessiert sind.
Die Auswirkungen des Trading-Bot-Betrugs
Bisher wurden mehr als 4.000 IP-Adressen in den gestohlenen Protokollen identifiziert. Einige der kompromittierten Daten umfassen über 200.000 Passwörter und Hunderte von Kreditkartendaten.
Mehr als 4 Millionen Browser-Cookies wurden ebenfalls offengelegt, sodass Angreifer Online-Sitzungen übernehmen können.
Sie können jetzt Passwörter vollständig umgehen und Opfer in Ländern wie den USA, Südkorea, Österreich und den Niederlanden angreifen.
Allein im Juli wurde ein neuer Phishing-Köder entdeckt, der als ausführbare Microsoft Word-Datei getarnt war. Diese Datei wurde entwickelt, um Antiviren-Tools zu umgehen, und enthielt keine verdächtigen Links.
Diese Operation ist mehr als eine einmalige Sache. Sie ist Teil eines wachsenden Trends, und mehrere Hackergruppen arbeiten jetzt zusammen, um Betrügereien mit gemeinsamen Tools und Bot-Netzwerken durchzuführen, um die Gewinne zu steigern.
Prävention und was Sie tun können
SentinelOne-Forscher warnen, dass sich die Malware noch in aktiver Entwicklung befindet. Dies bedeutet, dass neue Versionen schwerer zu erkennen sind und sogar mit neuen Funktionen ausgestattet sein könnten.
Um geschützt zu bleiben, vermeiden Sie das Öffnen von ZIP-Dateien aus unbekannten Quellen, installieren Sie keine Software von verdächtigen Links und überwachen Sie den gesamten ausgehenden Datenverkehr, insbesondere zu Telegram-Domänen.
Verwenden Sie schließlich immer eine Antivirensoftware, die Python-basierte Malware erkennen kann, und bleiben Sie auf dem Laufenden über Phishing- und ZIP-Malware-Risiken.
Organisationen sollten auch die Nutzung von Telegram auf Unternehmenssystemen einschränken und jede Art von ungewöhnlichem Benutzerverhalten überwachen.
Hinterlasse einen Kommentar