Was IT-Security-Experten den Schlaf raubt

So fängt man sich mit Youtube-Tutorials zu gecrackter Software Malware ein

Uhr
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat / Netzmedien)
(Source: Coen Kaat / Netzmedien)

Ticker

12.02.2024 - 11:30 Uhr

So fängt man sich mit Youtube-Tutorials zu gecrackter Software Malware ein

Fortiguard Labs warnt vor einer Malware-Kam­pagne auf Youtube, die Fahrt aufgenommen hat. Die Opfer werden über Videos angelockt, die Anleitungen für gecrackte Softwareprogramme zeigen, wie "Golem" berichtet.

In die Videobeschreibungen setzten die Cyberkriminellen Links zu File-Sharing-Websites. Um die wahren Absichten der Kriminellen zu verstecken, wurden die Links mit Onlinediensten wie TinyURL gekürzt. Statt der gecrackten Software laden sich die Opfer über diese Links die Malware Lumma herunter. Das Schadprogramm kann sensible Daten von infizierten Systemen stehlen; dazu zählen System- und Browserdaten sowie Zugangsdaten für Kryptowallets. Die gestohlenen Daten übermittelt der Infostealer an einen der rund ein Dutzend Command-and-Control-Server, die von den Cyberkriminellen kontrolliert werden.

Die Videos wurden bereits Anfang 2023 auf der Videoplattform hochgeladen. Nach eigenen Angaben registrierte Fortiguard Labs aber Ende Dezember eine erhöhte Aktivität. Dies messen die Sicherheitsexperten an der Anzahl der Kontaktaufnahmen infizierter Rechner mit den Servern. In der Schweiz sind gemäss dem Bericht des Unternehmens zwar keine Fälle bekannt; die Malware fand aber unter anderem auch im benachbarten Deutschland und Italien eine nicht bezifferte Anzahl Opfer.

12.02.2024 - 09:29 Uhr

Mastodon stopft Lücke, die zu Account-­Übernahmen führt

Der Open-Source-Mikroblogging-Dienst Mastodon hat eine Sicherheitslücke behoben. Die Social-Media-Plattform zählt aktuell 12 Millionen Nutzerinnen und Nutzer. Die Sicherheitslücke wird mit einem CVSS-Wert von 9,4 als "kritisch" eingestuft.

Mastodon ermöglicht die Konfiguration des LDAP-Netzwerkprotokolls für die Authentifizierung, wie es in der Beschreibung der Schwachstelle (CVE-2024-23832) heisst. Aufgrund der unzureichenden Herkunftsüberprüfung in allen Mastodon-Versionen können sich Angreifer als ein beliebig entferntes Konto ausgeben und es übernehmen.

 

 

Die Schwachstelle ist ab Version 4.2.5 behoben. Um zu verhindern, dass Cyberkriminelle die Schwachstelle ausnutzen, hält sich Mastodon bezüglich technischer Details noch zurück. Diese will der Mikroblogging-Dienst erst am 15. Februar bekannt geben. Dies soll den Administratoren etwas Zeit geben, die Aktualisierung auf ihren Servern auszurollen.

Übrigens: Mastodon ist nicht die Social-Media-Plattform der Band Mastodon, stattdessen erhielt sie ihren Namen vom amerikanischen Mammut Mastodon. Dies hinderte die Band jedoch nicht daran, ein Bisschen Spass mit der ganzen Verwirrung um die unterschiedlichen Mastodons zu haben:

23.01.2024 - 18:12 Uhr

Skrupellose Schein-Samariter geben Ransomware-Opfern falsche Hoffnungen

Ransomware. Datenverlust. Erpressung. Wer Opfer einer Erpressersoftware wurde, ist wohl für jede Hilfe dankbar, die angeboten wird. Das wissen die Cyberkriminellen allerdings ebenfalls - und sie wissen das auch auszunutzen. Die Sicherheitsspezialisten von Arctic Wolf Networks beschreiben zwei aktuelle Fälle, in denen unbekannte Bedrohungsakteure dies demonstrierten.

Arctic Wolf untersuchte mehrere Fälle, bei denen der Spuk für die Opfer nicht mit dem Ransomware-Befall endete. Seit Oktober 2023 untersuchte das Unternehmen mehrere Fälle, bei denen die Opfer nach der ersten Infektion für weitere Erpressungsversuche kontaktiert wurden. 

Zwei Fälle hebt das Security-Unternehmen besonders hervor. In den beiden Fällen gaben die Bedrohungsakteure vor, ein Sicherheitsforscher zu sein und den attackierten Organisationen helfen zu wollen. Sie boten an, sich in die Serverinfrastruktur der ursprünglich beteiligten Ransomware-Gruppen zu hacken, um die gestohlenen Daten zu löschen. 

Im ersten Fall gab der skrupellose Schein-Samariter vor, von einer Firma namens "Ethical Side Group" zu sein. Im zweiten Fall kam das Angebot von einer Person, die sich "xanonymoux" nannte. Arctic Wolf geht aber davon aus - mit "mässiger Zuversicht" - dass die angeblichen Hilfsangebote jeweils von denselben Cyberkriminellen stammten.

Arctic Wolf schliesst dies unter anderem aus stilistischen Analysen der Kommunikation zwischen den Organisationen. Das Unternehmen fand 10 identische Phrasen in den ersten Mails von "xanonymoux" und der "Ethical Side Group". Ferner erfolgte die Kommunikation jeweils über den Peer-to-Peer-Messenger Tox, der geforderte Betrag war derselbe (5 Bitcoin) und auch der Aufbau der Kommunikation wies Ähnlichkeiten auf. 

Ob der betrügerische Retter in der Not mit der Erlaubnis oder sogar im Auftrag der ursprünglichen Ransomware-Banden operierte, ist nicht klar.
 

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security. Die archivierten Blogeinträge von 2018 bis 2023 finden Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
rE6QrAZr

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter