Zahlreiche Windows-Rechner in Südkorea werden seit mindestens Mai 2021 von einem Botnetz mit dem Namen PseudoManuscrypt angegriffen, das die gleiche Verbreitungstaktik wie eine andere Malware namens CryptBot anwendet.
„PseudoManuscrypt ist als Installationsprogramm getarnt, das einer Form von CryptBot ähnelt, und wird verbreitet“, so das südkoreanische Cybersicherheitsunternehmen AhnLab Security Emergency Response Center (ASEC) in einem heute veröffentlichten Bericht.
„Die Datei ähnelt nicht nur CryptBot, sondern wird auch über bösartige Websites verbreitet, die auf der ersten Suchseite erscheinen, wenn Nutzer nach kommerziellen, illegalen Softwareprogrammen wie Crack und Keygen suchen“, heißt es weiter.
Nach Angaben von ASEC werden im Durchschnitt täglich etwa 30 Computer im Land infiziert.
PseudoManuscrypt wurde erstmals im Dezember 2021 von der russischen Cybersecurity-Firma Kaspersky dokumentiert, als sie Details über eine „massenhafte Spyware-Angriffskampagne“ bekannt gab, die mehr als 35.000 Computer in 195 Ländern weltweit infizierte.
Zu den Zielen der PseudoManuscrypt-Angriffe, die ursprünglich im Juni 2021 aufgedeckt wurden, gehörten zahlreiche Industrie- und Regierungsorganisationen, darunter Unternehmen des militärisch-industriellen Komplexes und Forschungslabore, unter anderem in Russland, Indien und Brasilien.
Das Hauptnutzlastmodul ist mit umfangreichen und vielfältigen Spionagefunktionen ausgestattet, die den Angreifern praktisch die volle Kontrolle über das infizierte System ermöglichen. Dazu gehören das Stehlen von VPN-Verbindungsdaten, das Aufzeichnen von Audiodaten mit dem Mikrofon sowie das Erfassen von Inhalten der Zwischenablage und Ereignisprotokolldaten des Betriebssystems.
Darüber hinaus kann PseudoManuscrypt auf einen entfernten Command-and-Control-Server unter der Kontrolle des Angreifers zugreifen, um verschiedene schändliche Aktivitäten wie das Herunterladen von Dateien, das Ausführen beliebiger Befehle, das Protokollieren von Tastatureingaben und das Aufzeichnen von Screenshots und Videos des Bildschirms durchzuführen.
„Da diese Malware als illegales Software-Installationsprogramm getarnt ist und über bösartige Websites an zufällige Personen verteilt wird, müssen die Nutzer/innen darauf achten, dass sie keine entsprechenden Programme herunterladen“, so die Forscher/innen. „Da bösartige Dateien auch für Dienste registriert werden können und fortlaufend bösartige Verhaltensweisen ausführen, ohne dass der Nutzer es merkt, ist eine regelmäßige PC-Wartung notwendig.“