Cyberkriminelle Kampagne verbreitet Infostealer und weist auf Risiken für Web3 Gaming hin
Die Insikt Group hat eine umfangreiche russischsprachige Cyberkriminalitäts-Kampagne identifiziert, bei der betrügerische Web3-Gaming-Projekte genutzt werden, um mehrere Varianten von Informationsdiebstahl-Malware („Infostealer“) auf macOS- und Windows-Geräte zu übertragen. Web3-Gaming bezieht sich auf Online-Spiele, die auf der Blockchain-Technologie basieren und zu finanziellen Gewinnen in Form von verschiedenen Kryptowährungen für Spieler führen können. Diese betrügerischen Web3-Projekte imitieren legitime Projekte, wobei die Projektnamen und das Branding leicht verändert werden. Zu diesem betrügerischen Branding gehören auch mehrere Social-Media-Konten, die sich als legitime Projekte ausgeben und den Anschein von Authentizität erwecken können.
Der gezielte Charakter dieser Kampagne lässt darauf schließen, dass Bedrohungsakteure Web3-Gamer als stärker anfällig für Social Engineering einstufen, da sie bei der Jagd nach Profit vermutlich Kompromisse bei der Cyberhygiene eingehen – was bedeutet, dass Web3-Gamer möglicherweise weniger Schutz vor Cyberkriminalität haben. Die Bedrohungsakteure, die hinter der Kampagne stehen, schaffen die nötige Infrastruktur, um Redundanz und Kontinuität zu ermöglichen. Der agile Charakter der Kampagne impliziert Widerstandsfähigkeit, was darauf hindeutet, dass es für die Bedrohungsakteure relativ einfach sein könnte, auszusteigen oder einen neuen Namen zu wählen, nachdem sie entdeckt wurden. Wir haben festgestellt, dass die in dieser Kampagne verteilte Version von AMOS sowohl Intel-basierte als auch ARM-basierte (Apple M1) Macs infizieren kann, was bedeutet, dass Opfer, die einen der beiden Chipsätze verwenden, anfällig für den Infostealer sein können. Angesichts der Zielgruppe der Web3-Gaming-Projekte ist es fast sicher, dass die Bedrohungsakteure in erster Linie auf Opfer mit Kryptowährungs-Geldbörsen abzielen. Da Wallet-Kompromittierung, gemessen an den Gesamtkosten, weiterhin die größte Bedrohung sowohl für Web3- als auch für die Kryptowährungssicherheit darstellt, gehen wir davon aus, dass die Kompromittierung von Wallets wahrscheinlich das Endziel dieser Kampagne ist. Die gesammelten Zugangsdaten könnten jedoch für eine Reihe von unautorisierten Kontozugriffen verwendet werden.
Die Taktiken, Techniken und Verfahren (TTPs) der Kampagne ermöglichen eine anhaltende Wirksamkeit gegen Abwehrmaßnahmen, die ausschließlich auf EDR- (Endpoint Detection and Response) oder AV-Produkten (Antivirus) basieren. Die betroffenen Einzelpersonen und Organisationen müssen auf die plattformübergreifende Bedrohung der Kampagne mit einer umfassenden Abwehrstrategie reagieren. Russischsprachige Artefakte im HTML-Code dieser Projekte deuten darauf hin, dass es sich bei den Bedrohungsakteuren wahrscheinlich um russischsprachige Akteure handelt. Obwohl wir nicht genau feststellen können, wo sie sich befinden, deutet das Vorhandensein solcher Artefakte darauf hin, dass sich die Bedrohungsakteure in Russland oder einer Nation innerhalb der Gemeinschaft Unabhängiger Staaten (GUS) befinden könnten.
Eine kontinuierliche Überwachung dieser Kampagne ist möglicherweise nicht möglich, was bedeutet, dass Einzelpersonen und Organisationen sich gegen den breiteren Angriffsvektor selbst wehren müssen. Da sich die Kampagne über „Trap-Phishing“-Software-Downloads verbreitet, sind umfassende Sensibilisierungs- und Aufklärungskampagnen für die Nutzer unerlässlich, um potenzielle Opfer davon abzuhalten, Software aus ungeprüften und inoffiziellen Quellen herunterzuladen. Weitere Empfehlungen finden Sie im Abschnitt Abhilfemaßnahmen dieses Berichts.
Organisationen, die in Web3-Gaming oder angrenzenden Branchen tätig sind, wie unter anderem die allgemeine Spielebranche oder auch Kryptowährungsbörsen, riskieren, dass ihre Projekte im Rahmen dieser Kampagne imitiert werden, was zu einer erheblichen Beeinträchtigung der Marke führen kann, wenn keine Abhilfe geschaffen wird. Obwohl es schwierig ist, den finanziellen Verlust durch Markenschädigung zu beziffern, besteht bei betroffenen Web3-Projekten die Gefahr, dass ihr Ruf bei ihrer gesamten Benutzerbasis und der gesamten Web3-Gaming-Branche Schaden nimmt, wenn auf eine Kampagne wie diese nicht reagiert wird. Angesichts der Agilität dieser Kampagne gehen wir davon aus, dass diese Bedrohungsakteure wahrscheinlich auch weiterhin Web3-Spieleprojekte mit Infostealern angreifen werden.
Web of Deceit: Der Anstieg von imitierten Web3-Gaming-Betrügereien und Malware-Infektionen
Die Kampagne beinhaltet die Erstellung nachgeahmter Web3-Gaming-Projekte mit leichten Namens- und Markenänderungen, um legitim zu erscheinen, zusammen mit gefälschten Social-Media-Konten, um ihre Authentizität zu stärken. Die Hauptwebseiten dieser Projekte bieten Downloads an, die nach der Installation Geräte mit verschiedenen Arten von „Infostealer“-Malware infizieren, wie etwa Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys oder RisePro, je nach Betriebssystem.
Betrügerischer Status eines Web3-Gaming-Projekts (Quelle: Recorded Future)
Die Kampagne zielt auf Web3-Spieler ab, da diese durch ihre Absicht, Gewinne zu erzielen, einen potenziellen Mangel an Cyberhygiene aufweisen. Es handelt sich um eine erhebliche plattformübergreifende Bedrohung, die eine Vielzahl von Schadprogrammen einsetzt, um die Systeme der Benutzer zu gefährden. Die Bedrohungsakteure haben eine widerstandsfähige Infrastruktur vorbereitet, die es ihnen ermöglicht, sich schnell anzupassen, indem sie ein neues Branding vornehmen oder den Fokus auf die Erkennung verlagern. Der Bericht unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und empfiehlt, dass Einzelpersonen und Organisationen umfassende Strategien zur Eindämmung dieser ausgeklügelten Phishing-Taktiken anwenden.
Spezifische Ergebnisse zeigen, dass die Malware-Versionen, einschließlich AMOS, sowohl Intel- als auch Apple M1-Macs infizieren können, was auf eine weitreichende Sicherheitslücke unter Benutzern hindeutet. Das Hauptziel scheint der Diebstahl von Krypto-Wallets zu sein, was ein erhebliches Risiko für die finanzielle Sicherheit darstellt. Trotz potenzieller Abhilfemaßnahmen wie Endgeräteerkennung und Antivirensoftware bleiben die Techniken der Kampagne wirksam, was auf die Notwendigkeit umfassenderer Abwehrmaßnahmen hindeutet. Artefakte im HTML-Code deuten auf die russische Herkunft der Bedrohungsakteure hin, obwohl ihr genauer Standort ungewiss bleibt. Der Bericht unterstreicht, wie wichtig es ist, das Bewusstsein zu schärfen und die Öffentlichkeit darüber zu informieren, dass Downloads aus nicht verifizierten Quellen verhindert werden können. Er weist auch auf die Gefahr hin, dass der Ruf legitimer Web3-Gaming-Projekte Schaden nehmen kann, wenn solchen Bedrohungen nicht angemessen begegnet wird.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 11. April 2024 veröffentlicht und am 29. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.
Anhang A – Indikatoren für eine Gefährdung
|
Domänen: ai-zerolend[.]xyz argongame[.]com argongame[.]spaß argongame[.]netzwerk argongame[.]xyz astration[.]io astrationgame[.]com astrationgame[.]io astrationplay[.]com astrationplay[.]io blastl2[.]net cosmicwayrb[.]org Crypterium[.]Welt crypteriumplay[.]com crypteriumplay[.]io crypteriumworld[.]io dustfighter[.]io Staubkämpfer[.]Raum dustfightergame[.]com Stauboperation[.]xyz gameastration[.]com playastration[.]com playcrypterium[.]com spielencrypterium[.]io testload[.]pythonanywhere[.]com vether-testers[.]org vether[.]org worldcrypterium[.]io IP-Adressen: 5.42.64[.]83 5.42.65[.]55 5.42.65[.]102 5.42.65[.]106 5.42.65[.]107 5.42.66[.]22 5.42.67[.]1 31.31.196[.]178 31.31.196[.]161 82.115.223[.]26 89.105.201[.]132 144.76.184[.]11 193.163.7[.]160 Datei-Hashes: 073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95 0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426 0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a 434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac 4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260 5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062 56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543 63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd 74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a 7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d 8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825 8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85 ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5 b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8 ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83 e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320 ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4 edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682 |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Datenverschleierung | T1001 |
| Daten vom lokalen System | T1005 |
| Registrierung abfragen | T1012 |
| Verschleierte Dateien oder Informationen | T1027 |
| Exfiltration über den C2-Kanal | T1041 |
| Geplante Aufgabe/Job | T1053 |
| Prozesserkennung | T1057 |
| Befehls- und Skriptinterpreter | T1059 |
| Application Layer Protocol | T1071 |
| Ermittlung der Systeminformationen | T1082 |
| Registrierung ändern | T1112 |
| Datenkodierung: Standardkodierung | T1132.001 |
| Indirekte Befehlsausführung | T1202 |
| Benutzerausführung | T1204 |
| Benutzerausführung: Bösartiger Link | T1204.001 |
| Benutzerausführung: Schädliche Datei | T1204.002 |
| Virtualisierung/Sandbox-Umgehung | T1497 |
| Web-Session-Cookie stehlen | T1539 |
| Ungesicherte Anmeldeinformationen | T1552 |
| Ungesicherte Anmeldeinformationen: Anmeldeinformationen in Dateien | T1552.001 |
| Tools deaktivieren oder ändern | T1562.001 |
| Phishing | T1566 |
| Infrastruktur erwerben: Domänen | T1583.001 |
| Infrastruktur erwerben: Webdienste | T1583.006 |
| Infrastruktur erwerben: Malvertising | T1583.008 |
| Konten einrichten: Social Media-Konten | T1585.001 |
| Fähigkeiten entwickeln | T1587 |
| Informationen zur Identität des Opfers sammeln: Anmeldeinformationen | T1589.001 |
| Informationen zum Opfer sammeln: Software | T1592.002 |
| Finanzieller Diebstahl | T1657 |
Anhang C – Domänen- und IP-Korrelationen
| Domain | Erstellt | IP-Adresse | Server | Aktiv |
| astration[.]io | 31.10.2023 | 5.42.66[.]22 | nginx/1.22.0 | NEIN |
| astrationplay[.]io | 20.01.2024 | 5.42.66[.]22 | Golfe2 | NEIN |
| astrationplay[.]com | 21.01.2024 | 5.42.66[.]22 | Golfe2 | NEIN |
| astrationgame[.]com | 07.02.2024 | 5.42.66[.]22 | nginx/1.22.0 | NEIN |
| astrationgame[.]io | 07.02.2024 | 5.42.66[.]22 | nginx/1.22.0 | NEIN |
| playastration[.]com | 08.02.2024 | 5.42.66[.]22 | nginx/1.22.0 | NEIN |
| gameastation[.]com | 12.02.2024 | 5.42.66[.]22 | nginx/1.22.0 | Ja |
| dustfighter[.]io | 31.01.2024 | 5.42.65[.]102 | nginx/1.22.0 | Ja |
| Staubkämpfer[.]Raum | 22.02.2024 | 5.42.65[.]102 | N/A | NEIN |
| dustfightergame[.]com | 26.02.2024 | CLOUDFLARE | CLOUDFLARE | Ja |
| Stauboperation[.]xyz | 25.02.2024 | 31.31.196[.]178 | nginx | Ja |
| ai-zerolend[.]xyz | 23.02.2024 | 31.31.196[.]161 | N/A | NEIN |
| cosmicwayrb[.]org | 27.10.2023 | CLOUDFLARE | CLOUDFLARE | Ja |
| argongame[.]com | 16.12.2023 | CLOUDFLARE | CLOUDFLARE | Ja |
| argongame[.]network | 04.02.2024 | CLOUDFLARE | CLOUDFLARE | Ja |
| argongame[.]spaß | 04.02.2024 | CLOUDFLARE | CLOUDFLARE | NEIN |
| argongame[.]xyz | 04.02.2024 | CLOUDFLARE | CLOUDFLARE | Ja |
| crypteriumplay[.]com | 09.09.2023 | 5.42.67[.]1 | nginx/1.22.0 | NEIN |
| playcrypterium[.]com | 19.09.2023 | 5.42.67[.]1 | nginx/1.22.0 | NEIN |
| playcrypterium[.]io | 11.10.2023 | 5.42.67[.]1 | nginx/1.22.0 | NEIN |
| Weltcrypterium[.]io | 06.09.2023 | 5.42.67[.]1 | nginx/1.22.0 | NEIN |
| Crypterium[.]Welt | 03.08.2023 | CLOUDFLARE | CLOUDFLARE | NEIN |
| crypteriumworld[.]io | 28.08.2023 | 5.42.64[.]83 | nginx/1.22.0 | NEIN |
| crypteriumplay[.]io | 25.10.2023 | 5.42.65[.]102 | AliyunOSS | NEIN |
| vether[.]org | 30.11.2023 | CLOUDFLARE | CLOUDFLARE | Ja |
| vether-testers[.]org | 30.01.2024 | 82.115.223[.]26 | nginx/1.20.2 | Ja |
Verwandt