MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für die Sicherheit von Kryptowährungen ist aufgetaucht, die von der berüchtigten Lazarus-Gruppe ausgeht. Diese Gruppe, die mit Nordkorea in Verbindung gebracht wird, hat eine ausgeklügelte Kampagne gestartet, um Krypto-Wallets auf verschiedenen Betriebssystemen zu infiltrieren.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Lazarus-Gruppe, bekannt für ihre raffinierten Cyberangriffe, hat eine neue Kampagne gestartet, die auf Kryptowährungs-Wallets abzielt. Diese Kampagne nutzt gefälschte LinkedIn-Jobangebote, um Malware zu verbreiten, die sowohl Windows, macOS als auch Linux infizieren kann. Laut Berichten von Cybersicherheitsexperten beginnt der Angriff mit einer Nachricht auf einem professionellen sozialen Netzwerk, die den Empfänger mit Versprechungen von Remote-Arbeit und guter Bezahlung lockt.
Nachdem das Interesse des Opfers geweckt wurde, fordert der vermeintliche Arbeitgeber einen Lebenslauf oder sogar einen persönlichen GitHub-Link an. Diese scheinbar harmlosen Anfragen dienen dazu, persönliche Daten zu sammeln oder der Interaktion einen legitimen Anstrich zu verleihen. Sobald die gewünschten Informationen gesammelt sind, wird das Opfer aufgefordert, ein GitHub- oder Bitbucket-Repository zu überprüfen, das angeblich ein Projekt für einen dezentralen Austausch enthält.
In dem bereitgestellten Code verbirgt sich ein verschleierter Skript, das darauf ausgelegt ist, eine weitere Schadsoftware von einer bestimmten URL herunterzuladen. Diese Schadsoftware ist ein plattformübergreifender JavaScript-Informationsdieb, der Daten aus verschiedenen Krypto-Wallet-Erweiterungen im Browser des Opfers sammeln kann. Darüber hinaus fungiert der Stealer als Loader, um eine Python-basierte Hintertür zu laden, die für das Überwachen von Zwischenablageinhalten und das Aufrechterhalten eines dauerhaften Fernzugriffs verantwortlich ist.
Die von Bitdefender dokumentierten Taktiken zeigen Überschneidungen mit einer bekannten Angriffsmethode namens Contagious Interview, die darauf abzielt, einen JavaScript-Stealer namens BeaverTail und ein Python-Implantat namens InvisibleFerret zu verbreiten. Diese Malware kann grundlegende Systeminformationen exfiltrieren, Tastenanschläge aufzeichnen und einen Kryptowährungs-Miner starten.
Die Komplexität der Infektionskette der Angreifer ist bemerkenswert. Sie enthält bösartige Software, die in mehreren Programmiersprachen geschrieben ist und eine Vielzahl von Technologien verwendet, darunter mehrschichtige Python-Skripte und .NET-basierte Stager, die Sicherheitswerkzeuge deaktivieren und einen Tor-Proxy konfigurieren können. Berichten zufolge sind diese Angriffe weit verbreitet, wobei es auf Plattformen wie LinkedIn und Reddit Hinweise auf geringfügige Anpassungen der Angriffskette gibt.
Einige Kandidaten werden aufgefordert, ein Web3-Repository zu klonen und lokal auszuführen, während andere gebeten werden, absichtlich eingeführte Fehler im Code zu beheben. Ein Bitbucket-Repository, das in diesem Zusammenhang erwähnt wird, trägt den Namen “miketoken_v2” und ist inzwischen nicht mehr zugänglich. Diese Enthüllungen kommen kurz nachdem bekannt wurde, dass die Contagious Interview-Kampagne auch genutzt wird, um eine weitere Malware namens FlexibleFerret zu verbreiten.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Neue Sicherheitsbedrohung: JavaScript-Stealer zielt auf Krypto-Wallets".
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Sicherheitsbedrohung: JavaScript-Stealer zielt auf Krypto-Wallets" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.