Warnung vor OkoBot-Malware
Experten des Global Research and Analysis Team (GReAT) von Kaspersky warnen, dass Hunderte von Nutzern in 25 Ländern gefährdet sind, ihre Vermögenswerte zu verlieren. Das gefährliche OkoBot-Malware-Framework, das gezielt auf Kryptowährungsbesitzer abzielt, ist in eine aktive Phase eingetreten.
Neue Taktiken der Hacker
Hacker haben ihre Taktiken vollständig überarbeitet und richten sich nun gegen Personen, die glauben, vollständig geschützt zu sein, so die Analysten in einem neuen Bericht. Die Malware stiehlt Gelder, indem sie die Funktionen der offiziellen Anwendungen Ledger Live, Ledger Wallet und Trezor Suite abfängt und ein gefälschtes Bestätigungsfenster anzeigt.
Sicherheitsregeln für Nutzer
Um nicht auf diesen Trick hereinzufallen, wird den Nutzern geraten, drei wichtige Sicherheitsregeln strikt zu befolgen. In dieser Kampagne zielen die Angreifer insbesondere auf IT-Spezialisten und Softwareentwickler ab.
Verbreitung der Malware
Der erste Kompromiss erfolgt, wenn Hacker die Malware als beliebte Arbeitswerkzeuge tarnen und infizierte Software über GitHub verbreiten. Forscher haben die Malware bereits in einem gefälschten Installer für Microsoft SQL Server Management Studio (SSMS) entdeckt.
Techniken der Angreifer
Gleichzeitig nutzen die Angreifer ausgeklügelte ClickFix-Angriffe, eine Technik der sozialen Manipulation, bei der Nutzer überzeugt werden, schädlichen Code in einem Terminal auszuführen, um einen vermeintlichen Browserfehler zu beheben.
Erwartete Ausweitung der Angriffe
Laut Kaspersky GReAT wird erwartet, dass sich die geografische Reichweite der Angriffe über die derzeit am stärksten betroffenen Länder hinaus ausdehnt, angeführt von Brasilien, Vietnam, Kanada, Mexiko und der Türkei.
Modularer Aufbau der Malware
Die Malware verwendet eine modulare Struktur mit mehr als 20 Komponenten, darunter den Rilide-Infostealer und das OkoSpyware-Überwachungsmodul. Es wird auch erwartet, dass neue versteckte Erweiterungen für Chromium-basierte Browser, einschließlich Chrome und Edge, auftauchen.
Gefahren durch versteckte Erweiterungen
Die Malware kann diese Erweiterungen vollständig aus der sichtbaren Liste der installierten Add-ons entfernen, sodass die Nutzer sich ihrer Anwesenheit nicht bewusst sind. In der letzten Phase könnte der großflächige Verkauf des Zugangs zu den Computern der Opfer erfolgen.
Langfristige Auswirkungen
Nachdem OkoBot eine Persistenz im System hergestellt hat, erstellt es heimlich ein neues Administratorkonto und öffnet einen permanenten SSH-Tunnel für die Fernsteuerung über RDP.