Kaspersky hat drei neue finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank.
Der aktuelle Crimeware Report von Kaspersky untersucht drei neue Schadprogramme, die darauf abzielen, Daten und Geld zu stehlen.
Lumar ermöglicht Aufzeichnen von Telegram-Sessions
Bei Lumar handelt es sich um einen Multi-Purpose-Stealer, der erstmals im Juli 2023 verbreitet wurde und zunehmend zum Einsatz kommt. Der Stealer kann Telegram-Sessions aufzeichnen, Passwörter, Cookies und AutoFill-Daten sowie Daten aus verschiedenen Krypto-Wallets stehlen und Desktop-Dateien der Nutzer abrufen. Sobald er ausgeführt wird, sammelt Lumar Systeminformationen und Nutzerdatzen und sendet sie an einen C2-Server (Command-and-Control). Der vom Malware-Entwickler als Malware as a Service (MaaS) gehostete Command-and-Control-Server bietet nutzerfreundliche Funktionen wie Statistiken und Datenprotokolle. Mit der neuesten zum Download angebotenen Version, können Nutzer Telegram-Benachrichtigungen über eingehende Daten erhalten.
Rhysidas Talent zur Spurenverwischung
Weiterhin fanden die Experten von Kaspersky eine neue Ransomware: Rhysida wurde von Kasperskys Telemetrie entdeckt und fungiert als RaaS (Ransomware-as-a-Service). Sie ist in der Lage, sich selbst zu löschen, und ist mit älteren Windows-Versionen als Windows 10 kompatibel. Rhysida wurde in C++ geschrieben und mit MinGW sowie Shared Libraries kompiliert, das Design ist äußerst ausgeklügelt. Die anfangs von Rhysida bewältigten Startschwierigkeiten bei der Konfiguration seines Onion-Servers demonstrieren die schnelle Anpassungsfähigkeit der Ransomware-Gruppe.
GoPix zielt auf Brasiliens Bezahlsystem PIX ab
Außerdem entdeckten die Kaspersky-Experten mit GoPIX eine seit Dezember 2022 laufende schädliche Kampagne, die Brasiliens weitverbreitetes Bezahlsystem PIX im Visier hat. Suchen Nutzer nach „WhatsApp web“, werden sie über irreführende Anzeigen umgeleitet. GoPIX nutzt das Anti-Fraud-Tool von IP Quality Score, um echte Nutzer von Bots zu unterscheiden, so dass zwei Download-Optionen angeboten werden, die auf dem Status von Port 27275 basieren, der mit der Avast Safe Banking Software verknüpft ist. Die Malware, die darauf ausgelegt ist, Transaktionsdaten zu stehlen und zu manipulieren, kann unterschiedliche Vorgänge ausführen und reagiert auf Befehle von einem Command-and-Control-Server.
„Angesichts der steigenden Zahl von Cyberbedrohungen, die finanziell motiviert sind, bleibt unser Engagement für den Schutz digitaler Ökosysteme ungebrochen“, sagt Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir verfolgen die Entwicklung der Bedrohungslandschaft genau und entwickeln Sicherheitslösungen, um Angriffe proaktiv zu bekämpfen. Um die nötige Sicherheit zu gewährleisten, raten wir nachdrücklich zu einer robusten Cybersicherheitsstrategie, die derartige Bedrohungen wirksam abwehrt.“
www.kaspersky.de