Eine „große und robuste Infrastruktur“ mit über 250 Domains wird seit Anfang 2020 genutzt, um Malware wie Raccoon und Vidar zu verbreiten, die Informationen stiehlt.
Die Infektionskette „nutzt etwa hundert gefälschte Websites mit geknackten Softwarekatalogen, die auf verschiedene Links umleiten, bevor sie die Nutzlast herunterladen, die auf Dateifreigabeplattformen wie GitHub gehostet wird“, so das Cybersicherheitsunternehmen SEKOIA in einer Anfang des Monats veröffentlichten Analyse.
Das französische Cybersicherheitsunternehmen stellte fest, dass die Domains von einem Bedrohungsakteur betrieben werden, der ein Traffic Direction System(TDS) betreibt, das es anderen Cyberkriminellen ermöglicht, den Dienst zu mieten, um ihre Malware zu verbreiten.
Die Angriffe zielen auf Nutzer ab, die in Suchmaschinen wie Google nach geknackten Versionen von Software und Spielen suchen. Dabei werden betrügerische Websites an erster Stelle angezeigt, indem eine Technik namens SEO (Search Engine Optimization) Poisoning eingesetzt wird, um die Opfer zum Herunterladen und Ausführen der schädlichen Nutzdaten zu verleiten.
Das vergiftete Ergebnis enthält einen Download-Link zu der versprochenen Software, der beim Anklicken eine fünfstufige URL-Umleitungssequenz auslöst, die den Nutzer auf eine Webseite mit einem verkürzten Link führt, der auf eine passwortgeschützte RAR-Archivdatei auf GitHub verweist, zusammen mit dem dazugehörigen Passwort.
„Die Verwendung mehrerer Umleitungen erschwert die automatische Analyse durch Sicherheitslösungen“, so die Forscher. „Es ist sehr wahrscheinlich, dass die Infrastruktur so gestaltet ist, um die Ausfallsicherheit zu gewährleisten und es einfacher und schneller zu machen, einen Schritt zu aktualisieren oder zu ändern.
Wenn das Opfer das RAR-Archiv dekomprimiert und die darin enthaltene angebliche Setup-Datei ausführt, wird eine der beiden Malware-Familien Raccoon oder Vidar auf dem System installiert.
Cyble berichtete über eine betrügerische Google-Werbekampagne, die weit verbreitete Software wie AnyDesk, Bluestacks, Notepad++ und Zoom als Köder einsetzt, um einen funktionsreichen Stealer mit dem Namen Rhadamanthys Stealer zu installieren.
Eine andere Variante der Angriffskette nutzt Phishing-E-Mails, die als Kontoauszüge getarnt sind, um ahnungslose Nutzer dazu zu verleiten, auf betrügerische Links zu klicken.
Auch gefälschte Websites, die sich als die beliebte Remote-Desktop-Lösung ausgeben, wurden in der Vergangenheit genutzt, um einen Python-basierten Informationsdiebstahl namens Mitsu Stealer zu verbreiten.
Beide Schädlinge sind in der Lage, eine Vielzahl von persönlichen Informationen von kompromittierten Computern abzuschöpfen, Zugangsdaten von Webbrowsern zu sammeln und Daten aus verschiedenen Kryptowährungs-Wallets zu stehlen.
Den Nutzern wird empfohlen, keine raubkopierte Software herunterzuladen und ihre Konten mit einer Multi-Faktor-Authentifizierung zu schützen, wo immer dies möglich ist.
„Es ist wichtig, dass die Nutzer/innen beim Erhalt von Spam-E-Mails oder beim Besuch von Phishing-Webseiten vorsichtig sind und die Quelle überprüfen, bevor sie Anwendungen herunterladen“, so die Forscher/innen.