Deutschland
 

Cybercrime-Entwicklung

Hacker setzen zunehmend auf Stealer-as-a-Service-Modelle

Cyberkriminelle setzen zunehmend auf Malware-as-a-Service-Programme, um die Informationen ihrer Opfer zu stehlen.
Von  und
CSO | 30. November 2022 06:00 Uhr
Mit Hilfe von Info-Stealer-Malware sammeln Cyberkriminelle Anmeldedaten, die in Browsern, Spielkonten, E-Mail-Diensten, sozialen Medien, Bankkartendaten und Krypto-Wallet-Informationen gespeicherten sind. Immer mehr Angreifer setzen dabei auf As-a-Service-Modelle.
Mit Hilfe von Info-Stealer-Malware sammeln Cyberkriminelle Anmeldedaten, die in Browsern, Spielkonten, E-Mail-Diensten, sozialen Medien, Bankkartendaten und Krypto-Wallet-Informationen gespeicherten sind. Immer mehr Angreifer setzen dabei auf As-a-Service-Modelle.
Foto: Buravleva - shutterstock.com

Wie ein Bericht von Group-IB zeigt, gehen Cyberkriminelle zunehmend von automatisiertem Scam-as-a-Service zu fortschrittlicheren Info-Stealer-Malware-Vertreibern über. Die Security-Forscher führen dies darauf zurück, dass der Wettbewerb um die Ressourcen zunimmt und die Angreifer daher nach neuen Wegen suchen, um Gewinne zu erzielen.

Im Rahmen seiner Analyse konnte das Sicherheitsunternehmen 34 russischsprachige Gruppen identifizieren, die Info-Stealing-Malware nach dem Stealer-as-a-Service-Modell verbreiten. Info-Stealer-Malware sammelt die in Browsern, Spielkonten, E-Mail-Diensten, sozialen Medien, Bankkartendaten und Krypto-Wallet-Informationen gespeicherten Anmeldeinformationen von infizierten Computern und sendet die Daten an den Malware-Betreiber. Diese Daten werden dann im Dark Web verkauft oder für Betrügereien verwendet.

Nach den Angaben der Forscher koordinieren sich die identifizierten Bedrohungsakteure über Telegram-Gruppen, um ihre Operationen durchzuführen. Aufgrund der niedrigen Einstiegshürde und des vollständig automatisierten Prozess sei das System besonders beliebt bei Anfängern, so Group-IB.

"Anfänger brauchen keine fortgeschrittenen technischen Kenntnisse, da der Prozess vollautomatisch abläuft und die einzige Aufgabe des Angreifers darin besteht, eine Datei mit einem Stealer im Telegram-Bot zu erstellen und den Datenverkehr dorthin zu leiten", erklärt Ilia Rozhnov, Leiter von Group-IB Digital Risk Protection APAC.

Erhebliche Zunahme von Malware im Jahr 2022

Telegram-Gruppen und -Bots, die für die Verbreitung von Info-Stealern entwickelt wurden, tauchten laut dem Group-IB Digital Risk Protection-Team erstmals Anfang 2021 auf. In den ersten sieben Monaten dieses Jahres wurde jedoch ein erheblicher Anstieg beobachtet, mit mehr als 890.000 infizierten Geräten in 111 Ländern, verglichen mit den 538.000 infizierten Geräten im Jahr 2021.

In den ersten sieben Monaten dieses Jahres stahlen Bedrohungsakteure über 50 Millionen Passwörter, zwei Milliarden Cookie-Dateien, Details von 103.150 Bankkarten und Daten von 113.204 Krypto-Wallets.

"In Unterwelt-Kreisen beläuft sich der Wert der gestohlenen Protokolle und der kompromittierten Kartendaten auf etwa 5,8 Millionen Dollar", schätzt Group-IB.

Paypal und Amazon waren die am häufigsten angegriffenen Dienste, wobei auf Paypal mehr als 16 Prozent und auf Amazon mehr als 13 Prozent der Angriffe entfielen. Die Zahl der Fälle, in denen Passwörter für Spieldienste wie Steam, EpicGames und Roblox gestohlen wurden, hat sich dem Bericht zufolge jedoch fast verfünffacht.

Die fünf am häufigsten angegriffenen Länder sind die Vereinigten Staaten, Brasilien, Indien, Deutschland und Indonesien.

RedLine und Racoon Stealer am häufigsten verwendet

Von den 34 untersuchten Gruppen wurde RedLine von 23 Gruppen am häufigsten eingesetzt, während Racoon von acht Gruppen am zweithäufigsten verwendet wurde. Der Sicherheitsanbieter stellte fest, dass benutzerdefinierte Stealer von drei Gruppen verwendet wurden. Beide Tools werden den Gruppenmitgliedern im Austausch gegen einen Anteil an den gestohlenen Daten oder Geld zur Verfügung gestellt.

"Die fragliche Malware wird jedoch im Dark Web für 150 bis 200 Dollar pro Monat zur Miete angeboten. Einige Gruppen verwenden drei Stealer gleichzeitig, während andere nur einen Stealer in ihrem Arsenal haben", heißt es in dem Bericht.

Im Durchschnitt haben die 34 identifizierten Info-Stealer-Gruppen auf Telegram 200 aktive Mitglieder. Die Aufgabe der Gruppenmitglieder besteht darin, den Verkehr auf betrügerische Websites zu lenken, die sich als bekannte Unternehmen ausgeben, und die Opfer davon zu überzeugen, bösartige Dateien herunterzuladen.

"Cyberkriminelle betten Links zu Download-Stealern in Videorezensionen zu beliebten Spielen auf YouTube, in Mining-Software oder NFT-Dateien in spezialisierten Foren und in der direkten Kommunikation mit NFT-Künstlern sowie in Gewinnspielen und Lotterien in sozialen Medien ein", so Group-IB.

Abwehr von Angriffen

Um solchen Angriffen vorzubeugen, empfiehlt Group-IB den Nutzern, das Herunterladen von Software aus verdächtigen Quellen zu vermeiden, isolierte virtuelle Maschinen oder alternative Betriebssysteme für die Installation zu verwenden, keine Passwörter in Browsern zu speichern und Browser-Cookies regelmäßig zu löschen.

Außerdem raten die Sicherheitsexperten Unternehmen, einen proaktiven Ansatz für die digitale Sicherheit zu wählen und moderne Technologien zur Überwachung und Reaktion auf Angriffe einzusetzen.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie möchten regelmäßig über aktuelle Security-Themen informiert werden? Abonnieren Sie doch einfach unseren kostenlosen Newsletter.

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.
Folgen:
Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: