Dark Partners-Hacker und gefälschte Kryptowährungsdienste
Die Dark Partners-Hacker sind in Verbindung mit einem Netzwerk von gefälschten Kryptowährungs-Wallets und Handels-Apps gebracht worden. Der Forscher g0njxa hat herausgefunden, dass Dark Partners eine Gruppe ist, die sich mit dem großflächigen Diebstahl digitaler Vermögenswerte befasst. Die Hacker betreiben zahlreiche Webseiten, die Stealer vertreiben, die als KI-Dienste, VPNs und Kryptowährungssoftware getarnt sind. Darunter befinden sich gefälschte Versionen von TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE und Unusual Whales-App.
Laufende Malware-Kampagne
Eine laufende Malware-Kampagne hat „PayDay Loader“ für Windows-Nutzer und „Poseidon Stealer“ für macOS-Nutzer über gefälschte KI- und Software-Webseiten verbreitet. Malware-Analysen und Bedrohungsjagden unterstützen diese Kampagne, die die genannten Programme verteilt. Die Malware scannt die Geräte der Opfer nach bereits installierten Wallets wie Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live und MetaMask. Die Hacker sammeln außerdem Host-Informationen, Anmeldeinformationen, private Schlüssel und Cookies mit dem Ziel der Weiterverwertung.
g0njxa vermutet, dass Dark Partners erworbene Codesignaturzertifikate verwendet, um Windows-Malware zu erstellen. Das Bundeskriminalamt (BKA) identifizierte den Anführer der Trickbot- und Conti-Hackergruppen, bekannt als Stern, als den 36-jährigen Russen Vitaly Kovalev. Er wurde zur Fahndung ausgeschrieben wegen Bildung einer kriminellen Organisation und gilt als untergetaucht in der Russischen Föderation. Im Februar 2023 gehörte Kovalev zu sieben Personen, die von den USA wegen Verbindungen zu Trickbot und Conti sanktioniert wurden; zu diesem Zeitpunkt wurde er als hochrangiges Mitglied dieser Gruppen beschrieben. Laut dem BKA hat Trickbot über 100 Mitglieder und ist verantwortlich für die Infektion von Hunderttausenden von Systemen weltweit, was Schäden in Hunderten Millionen Dollar verursacht hat.
Neue Malware-Varianten
Experten von Cisco Talos entdeckten Malware, die sich als legitime KI-Tool-Installateure tarnte, darunter die CyberLock– und Lucky_Gh0$t-Ransomware sowie Numero-Viper. Die CyberLock-Betreiber drohen Opfern, dass sie vollen Zugriff auf vertrauliche Geschäftsdokumente, persönliche Dateien und Datenbanken erlangt haben. Sie fordern 50.000 Dollar in Monero für den Entschlüsselungsschlüssel und versprechen, das Geld als humanitäre Hilfe in verschiedene Länder zu senden. Sollte die Zahlung nicht innerhalb von drei Tagen eingehen, drohen die Hacker mit der Veröffentlichung der Daten; Experten finden jedoch keine Hinweise auf Datenexfiltration im Code der Ransomware. Lucky_Gh0$t arbeitet auf ähnliche Weise. Bei Numero hingegen werden GUI-Komponenten manipuliert, indem der Inhalt von Fenstern und Schaltflächen mit numerischen Sequenzen neu geschrieben wird, wodurch das Betriebssystem unbrauchbar wird.
Maßnahmen gegen Cyberkriminalität
Die Polizei in den Niederlanden, unterstützt von US-Kräften, blockierte den AVCheck-Dienst, der von Cyberkriminellen genutzt wurde, um ihre Malware gegen kommerzielle Antivirenlösungen zu testen. Ermittler verknüpften auch die Administratoren der Webseite mit den Krypto-Diensten Cryptor.biz und Crypt.guru. Die Domain von Cryptor.biz wurde beschlagnahmt, während Crypt.guru offline ist. Verschlüsselungsdienste helfen Malware-Betreibern, ihre Daten zu verstecken, wodurch sie Teil desselben Ökosystems werden. Undercover-Agenten, die sich als Kunden ausgaben, trugen zur Schließung dieser Dienste bei.
Neue Technologien zur Datenerfassung
Ein neuer Dienst namens YouTube-Tools ist online aufgetaucht, der behauptet, alle Kommentare eines YouTube-Nutzers finden zu können, und nutzt KI, um ein Profil zu erstellen, das den vermeintlichen Wohnort, Sprachkenntnisse, Interessen und politischen Ansichten angibt. Ursprünglich erstellt, um League of Legends-Benutzernamen zu untersuchen, hat der Dienst mit dem Übergang zu einem modifizierten LLM von Mistral nun erweiterten Möglichkeiten. Laut dem Entwickler ist YouTube-Tools für Strafverfolgungsbehörden konzipiert. Nach der Registrierung und für etwa 20 Dollar pro Monat ist der Dienst jedoch für jedermann zugänglich. Experten warnen, dass das Tool eine ernsthafte Bedrohung für die Privatsphäre darstellen könnte.
Cyberabwehr durch britische Regierung
Der britische Verteidigungsminister John Healey hat die Regierungspläne enthüllt, ein Cyberkommando zu gründen, das dafür verantwortlich ist, das Land vor Hackerangriffen zu schützen und militärische Cyberoperationen zu unterstützen. Diese neue Struktur wird die Leit- und Koordinationssysteme der Armeeeinheiten mit KI-Technologie modernisieren, wobei Kosten von 1 Milliarde Pfund (1,3 Milliarden Dollar) anfallen. Cyber Command wird auch eine führende Rolle in der elektronischen Kriegsführung übernehmen, indem es feindliche Kommunikation abfängt und Drohnen stört. In den letzten zwei Jahren wurden die britischen Behörden schätzungsweise 90.000 Cyberangriffen durch ausländische Geheimdienste gegenüber, hauptsächlich aus Russland und China.
