Cybersecurity-Forscher haben ein neues Golang-basiertes Botnetz namens Kraken ausgepackt, das sich in aktiver Entwicklung befindet und über eine Reihe von Backdoor-Funktionen verfügt, um sensible Informationen von kompromittierten Windows-Hosts abzuschöpfen.
„Kraken ist bereits in der Lage, sekundäre Nutzdaten herunterzuladen und auszuführen, Shell-Befehle auszuführen und Screenshots vom System des Opfers anzufertigen“, heißt es in einem am Mittwoch veröffentlichten Bericht des Bedrohungsforschungsunternehmens ZeroFox.
Die ersten Varianten von Kraken, die im Oktober 2021 entdeckt wurden, basierten auf Quellcode, der auf GitHub hochgeladen wurde. Es ist jedoch unklar, ob das fragliche Repository den Betreibern der Malware gehört oder ob sie sich einfach entschieden haben, den Code als Grundlage für ihre Entwicklung zu verwenden.
Das Botnetz – nicht zu verwechseln mit dem gleichnamigen Botnetz aus dem Jahr 2008 – wird mit dem SmokeLoader aufrechterhalten, der hauptsächlich als Lader für die nächste Malware-Stufe fungiert und es ihm ermöglicht, sein Netzwerk schnell zu vergrößern und zu erweitern.
Es heißt, dass die Funktionen von Kraken ständig weiterentwickelt werden, indem die Autoren neue Komponenten einbauen und bestehende Funktionen verändern. Die aktuellen Versionen des Botnetzes verfügen über Funktionen zur Aufrechterhaltung der Persistenz, zum Herunterladen von Dateien, zum Ausführen von Shell-Befehlen und zum Diebstahl aus verschiedenen Kryptowährungs-Wallets.
Zu den angegriffenen Wallets gehören Armory, Atomic Wallet, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Jaxx Liberty und Zcash. Außerdem wird immer wieder der RedLine Stealer heruntergeladen und auf dem Rechner ausgeführt, mit dem gespeicherte Zugangsdaten, Autovervollständigungsdaten und Kreditkarteninformationen aus Webbrowsern abgegriffen werden.
Darüber hinaus verfügt das Botnetz über ein Administrationspanel, über das der Angreifer neue Nutzdaten hochladen, mit einer bestimmten Anzahl von Bots interagieren und den Befehlsverlauf sowie Informationen über die Opfer einsehen kann.
Im Laufe der Zeit hat sich Kraken auch als Kanal für den Einsatz anderer generischer Informationsdiebe und Kryptowährungsschürfer entpuppt, was den Betreibern des Botnetzes jeden Monat rund 3.000 US-Dollar einbringt. „Es ist derzeit nicht bekannt, was der Betreiber mit den gestohlenen Zugangsdaten vorhat oder welches Ziel er mit dem Aufbau dieses neuen Botnetzes verfolgt“, so die Forscher.