Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Videokonferenz-Apps beklauen Web3-Experten

Eine raffinierte Betrugskampagne richtet sich gezielt gegen Personen, die im Bereich Web3 tätig sind. Dabei werden gefälschte Videokonferenz-Apps eingesetzt, um einen Informationsdiebstahl namens „Realst“ zu verbreiten. Die Angreifer tarnen ihre Aktionen geschickt als scheinbar harmlose Geschäftsbesprechungen, um Vertrauen zu erwecken und ihre Opfer zu täuschen.

Bedrohungen
Lesezeit 3 Min.

Die Cyberkriminellen hinter der Malware haben eigens gefälschte Unternehmen gegründet, um ihre Angriffe glaubwürdiger wirken zu lassen. Dabei setzen sie auf den Einsatz von Künstlicher Intelligenz, um den Eindruck von Seriosität zu erwecken. „Die Angreifer kontaktieren ihre Zielpersonen, um einen Videoanruf zu vereinbaren, und fordern sie auf, eine vermeintliche Meeting-Anwendung von einer speziell eingerichteten Website herunterzuladen. Tatsächlich handelt es sich dabei um den Realst-Infostealer“, so Tara Gould von Cado Security.

Die Sicherheitsfirma hat der Kampagne den Namen „Meeten“ gegeben, da die gefälschten Websites Bezeichnungen wie Meeten, Meetone, Meetio, Clusee, und Cuesee tragen.

Erstkontakt meist über soziale Medien

Die Angriffe beginnen häufig damit, dass die Zielpersonen über Telegram kontaktiert werden, um scheinbar eine Investitionsmöglichkeit zu besprechen. Als nächsten Schritt werden sie eingeladen, an einem Videoanruf auf einer der gefälschten Plattformen teilzunehmen. Sobald die Nutzer die Website aufrufen, werden sie je nach Betriebssystem (Windows oder macOS) zum Herunterladen einer passenden Version der „Meeting-App“ aufgefordert.

Unter macOS wird nach der Installation eine Fehlermeldung angezeigt, die besagt, dass die App nicht vollständig kompatibel sei und das Systempasswort benötigt werde, um korrekt zu funktionieren. Diese Vorgehensweise wird durch die Nutzung der osascript-Technik ermöglicht, die bereits von anderen macOS-Schadsoftware-Familien wie Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer und Cthulhu Stealer bekannt ist.

Das Ziel dieser Angriffe ist der Diebstahl sensibler Daten, insbesondere aus Kryptowährungs-Wallets. Die gestohlenen Informationen werden anschließend an einen externen Server übertragen.

Die Malware kann auch sensible Daten wie Telegram-Anmeldeinformationen, Bankdaten, iCloud-Schlüsselbunddaten und Browser-Cookies stehlen. Betroffen sind unter anderem Browser wie Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc und Vivaldi.

Die Windows-Version der schädlichen App wird als NSIS-Datei (Nullsoft Scriptable Installer System) verbreitet und trägt eine offenbar gestohlene, legitime Signatur von Brys Software Ltd. Im Installationsprogramm ist eine Electron-App eingebettet, die so programmiert ist, dass sie eine Rust-basierte Stealer-Binärdatei von einer vom Angreifer kontrollierten Domain herunterlädt.

„Cyberkriminelle setzen immer häufiger Künstliche Intelligenz ein, um Inhalte für ihre Betrugskampagnen zu erstellen“, erklärt Tara Gould. „Mit Hilfe von KI können sie schnell überzeugende Inhalte für Websites generieren, die ihre Betrugsversuche glaubwürdiger erscheinen lassen und gleichzeitig die Entdeckung verdächtiger Seiten erschweren.“

Meeting-Software schon öfter als Malware-Schleuder missbraucht

Gefälschte Meeting-Software wird nicht zum ersten Mal genutzt, um Malware zu verbreiten. Bereits im März entdeckte Jamf Threat Labs eine gefälschte Website namens meethub[.]gg, über die eine Stealer-Malware verbreitet wurde, die Ähnlichkeiten mit Realst aufweist.

Im Juni berichtete Recorded Future über eine Kampagne namens markopolo, die gezielt Kryptowährungsnutzer ins Visier nahm. Dabei nutzten die Angreifer gefälschte Software für virtuelle Meetings, um mit Stealern wie Rhadamanthys, Stealc und Atomic deren Wallets zu plündern.

Gleichzeitig stellen die Entwickler hinter der Banshee-Stealer-Malware ihre Aktivitäten ein, nachdem der Quellcode der macOS-Malware öffentlich geworden ist. Die Ursache für dieses Leck bleibt unklar. Zuvor wurde die Malware in Cybercrime-Foren für ein monatliches Abonnement von 3.000 US-Dollar angeboten.

Parallel dazu tauchen ständig neue Stealer-Malware-Familien auf, darunter Fickle Stealer, Wish Stealer, Hexon Stealer und Celestial Stealer. Nutzer und Unternehmen, die nach raubkopierter Software oder KI-Tools suchen, werden zudem häufig mit RedLine Stealer oder Poseidon Stealer angegriffen.

Kaspersky stellte fest, dass die RedLine-Stealer-Kampagne offenbar darauf abzielt, Organisationen russischsprachiger Unternehmer anzugreifen, die Software zur Automatisierung von Geschäftsprozessen nutzen.

Diesen Beitrag teilen: