Thought Leadership
Das ThreatLabZ-Team hat eine neue Malware-Kampagne aufgedeckt, die gezielt Spieler in der Online-Gaming-Community angreift. Durch bösartige Links wird eine Schadsoftware verbreitet, die sowohl Informationen stiehlt als auch Kryptowährung schürft.
Die Experten von Zscaler gaben dieser Malware-Familie den Namen „NodeLoader“, da sie mit Node.js kompilierte Dateien nutzt, um weitere Schadsoftware wie XMRig, Lumma und Phemedrone Stealer nachzuladen.
Ausnutzung von Community-Plattformen zur Verbreitung
Mit dem wachsenden Erfolg von Streaming und Online-Gaming-Plattformen nutzen Cyberkriminelle vermehrt YouTube und Discord, um ihre Angriffe zu verbreiten. Die Angreifer locken Opfer mit angeblichen Cheats oder Hacks für populäre Spiele. In den bereitgestellten Videos werden vermeintliche Modifikationen vorgestellt, die angeblich Vorteile im Spiel bieten. Die Zuschauer werden auf Links verwiesen, die zu Webseiten führen, die echten Gaming-Websites zum Verwechseln ähnlich sehen. Statt der versprochenen Software laden sich ahnungslose Nutzer jedoch eine ZIP-Datei herunter, die die schädliche NodeLoader-Malware enthält.
Die Schadsoftware basiert auf Node.js und wird mithilfe des „pkg“-Moduls des Node Package Managers (NPM) kompiliert. Nach der Ausführung ruft NodeLoader ein PowerShell-Skript namens „script.ps1“ auf, das weitere Malware-Komponenten nachlädt, darunter Kryptominer und Information-Stealer. Um unerkannt zu bleiben, setzt die Malware auf Social-Engineering-Strategien sowie Anti-Evasion-Techniken.
Besonders besorgniserregend ist die Nutzung des Open-Source-Tools „sudo-prompt“ zur Privilegienerweiterung. Dieses auf GitHub und NPM frei verfügbare Modul erlaubt es NodeLoader, erweiterte Berechtigungen auf dem betroffenen System zu erhalten.
Große Reichweite durch YouTube und Malware-Verbreitung über Download-Dienste
ThreatLabZ-Analysten identifizierten zwei YouTube-Kanäle mit mehreren Videos, in deren Beschreibungen sich die bösartigen Links befanden. Diese Videos wurden bereits tausendfach aufgerufen. In einigen Fällen verwiesen die Links auf bekannte Software-Vertriebsdienste wie MediaFire, in anderen Fällen auf von den Angreifern kontrollierte Websites. Eine dieser Websites imitierte das Design von Korepi, einer populären Plattform für Gaming-Dienste, um Spieler zu täuschen.
Warum herkömmliche Sicherheitslösungen versagen
Die NodeLoader-Malware stellt für Antiviren- und EDR-Systeme eine besondere Herausforderung dar. Durch die Kompilierung mit dem „pkg“-Modul entsteht eine über 35 MB große Windows-Binärdatei. Diese außergewöhnliche Dateigröße erschwert die Erkennung, da viele Sicherheitslösungen nicht darauf optimiert sind. Zudem gibt es nur wenige Signaturen für Node.js-basierte Malware, wodurch zahlreiche infizierte Dateien unentdeckt bleiben.
Die zunehmende Beliebtheit von Online-Communities macht sie zu einem attraktiven Ziel für Cyberkriminelle. Die Aufklärung von Spielern und die Identifikation neuer Angriffsmethoden sind entscheidende Schritte, um potenzielle Opfer zu schützen. Zscaler trägt durch umfassende Sicherheitsmaßnahmen wie SSL-Inspektion, Browser-Isolierung und richtlinienbasierte Zugriffskontrollen zur Erkennung solcher Bedrohungen bei. Darüber hinaus kann eine spezialisierte Sandbox Malware analysieren und verschiedene Varianten identifizieren.
Spieler sollten stets vorsichtig sein, wenn sie auf YouTube oder Discord auf vermeintliche Cheats stoßen, und verdächtige Dateien nicht leichtfertig herunterladen. Nur durch Wachsamkeit und moderne Sicherheitslösungen lässt sich die Bedrohung durch NodeLoader eindämmen.
