Das Global Research and Analysis Team von Kaspersky (GReAT) hat eine neue, aktive Bedrohungskampagne entdeckt, deren Malware sich als Cracks beliebter Anwendungen wie dem Foxit PDF Editor, AutoCAD oder JetBrains tarnt.
Die Schadsoftware stiehlt sensible Informationen wie Bankdaten und missbraucht die Rechnerleistung zum Krypto-Mining. Betroffen sind über 11.000 Nutzer weltweit, darunter auch Personen in Deutschland und Österreich.
Im August 2024 entdeckte Kasperskys Global Research and Analysis Team (GReAT) eine neue Angriffsserie mit einem zuvor unbekannten Bundle aus Miner- und Infostealer-Malware. Die ursprünglichen Angriffsvektoren der von den Experten als ‚SteelFox‘ benannten Kampagne umfassten zunächst Forumsbeiträge und Torrent-Tracker mit Werbung für kostenlose Aktivierungen legitimer Softwareprodukte. Diese Dropper tarnten sich als Cracks beliebter Programme wie dem Foxit PDF Editor, dem Designtool AutoCAD oder der Entwicklungsumgebung JetBrains. Gleichzeitig mit der versprochenen Funktion luden sie ausgeklügelte Malware auf die Rechner der Nutzer.
Die hauptsächlich aus einem Infostealer-Modul und einem Krypto-Miner bestehende Kampagne sammelt zahlreiche Informationen von infizierten Rechnern, darunter Browserdaten, Zugangsdaten und Kreditkarteninformationen von Nutzern sowie Details zu installierter Software und Antivirus-Lösungen. Außerdem greift sie WLAN-Passwörter, Systeminformationen und Zeitzonendaten ab. Zusätzlich nutzen die Cyberkriminellen eine modifizierte Version des Open-Source-Miners ‚XMRig‘ zur Zweckentfremdung der Rechnerleistung für Krypto-Mining, vermutlich für die Währung Monero.
GReAT-Experten befürchten weitere Ausbreitung
Die Ergebnisse der GReAT-Forschung zeigen, dass SteelFox mindestens seit Februar 2023 aktiv ist und weiterhin eine Bedrohung darstellt. Wenngleich die Cyberkriminellen die Funktionen von SteelFox kaum verändert haben, modifizierten sie dessen Techniken und Code, um einer Entdeckung zu entgehen.
Kaspersky-Lösungen blockierten zwischen August und Ende Oktober 2024 über 11.000 Angriffe mit SteelFox, die meisten davon in Brasilien, China, Russland, Mexiko, den Vereinigten Arabischen Emiraten, Ägypten, Algerien, Vietnam, Indien und Sri Lanka. Auch Nutzer in Deutschland und Österreich sind betroffen.
„Die Angreifer haben ihre Infektionsvektoren schrittweise diversifiziert und sich anfangs auf Nutzer des Foxit Readers konzentriert“, kommentiert Dmitry Galov, Head of Research Center for Russia and CIS im Global Research and Analysis Team (GReAT) bei Kaspersky. „Nachdem sich die Wirksamkeit der schädlichen Kampagne bestätigt hatte, erweiterten sie ihre Reichweite um Cracks für JetBrains-Produkte. Drei Monate später begannen sie auch, den bekannten Namen von AutoCAD auszunutzen. Die Kampagne ist weiterhin aktiv und wir gehen davon aus, dass die Angreifer ihre Malware unter dem Deckmantel anderer, noch beliebterer Produkte weiter verbreiten werden.“
Kaspersky-Tipps zum Schutz vor SteelFox und ähnlichen Cyberbedrohungen
- Software nur von vertrauenswürdigen Quellen herunterladen und keine Drittanbieter-Webseiten nutzen. Vor jedem Download sollte stets die Authentizität der Software überprüft werden.
- Updates für das Betriebssystem und Anwendungen installieren, sobald diese verfügbar sind.
- Eine verlässliche Sicherheitslösung eines Anbieters nutzen, dessen Produkte und Lösungen regelmäßig durch ein unabhängiges Testinstitut bestätigt werden, wie beispielsweise Kaspersky Premium.
- Kaspersky-Lösungen erkennen SteelFox als ‚HEUR:Trojan.Win64.SteelFox.gen, Trojan.Win64.SteelFox.*.
Weitere Informationen zur Kampagne sind verfügbar auf Securelist.
(vp/Kaspersky)