#InvisibleChallenge: Malware sucht Opfer mit TikTok-Challenge
Cyberkriminelle missbrauchen eine Nackt-Tanz-Challenge auf TikTok, um Opfer zum Installieren ihrer Malware zu bewegen. Diese solle einen Filter entfernen.
Das IT-Sicherheitsunternehmen Checkmarx ist Schädlingsprogrammierern auf den Fersen, die ihren Opfern mit einer WASP genannten Malware Zugangsdaten etwa zu Discord und Kryptogeld abnehmen wollen. Die derzeit erfolgreiche Masche setzt dabei auf eine TikTok-Challenge namens #InvisibleChallenge. Die Schadsoftware entferne dabei angeblich einen Filter und mache ursprüngliche Videoinhalte wieder sichtbar.
Bei der #InvisibleChallenge tanzen TikTok-Nutzer nackt vor der Kamera und nutzen einen Filter, der den Körper entfernt, sodass nur eine verschwommene Kontur davon übrig bleibt, erklärt Checkmarx in einem Blogbeitrag. Auf mehr als 25 Millionen Ansichten schaffen es die Videos mit diesem Hashtag bereits.
Die Angreifer posten ihrerseits TikTok-Videos mit Links auf eine angebliche "Unfilter"-Software. Von der behaupten sie, sie könne den Filter von den Videos entfernen, auf denen die Akteure nackt tanzen.
Anleitung zur Installation
Die WASP-Malware ist etwas komplizierter zu installieren als übliche Schadsoftware. Es handelt sich um eine Discord-Malware, die sämtliche Passwörter, alle Krypto-Wallets, Kreditkarteninformationen und interessante Dateien auf dem Opfer-PC zusammensammelt und den Drahtziehern hinter der Schadsoftware schickt. Sie verbirgt sich in bösartigen Python-Paketen, die auf GitHub gehostet werden – und die es sogar in die GitHub-Trending-Projects geschafft haben.
Die Videos der Angreifer wurden bereits mehr als eine Million mal angesehen. Der darin verbreitete Link fĂĽhrt auf einen Discord-Server. Dem Server der Cyberkriminellen sind mehr als 30.000 Mitglieder beigetreten und die Zahl steigt noch immer weiter.
Auf dem Server haben die Angreifer nicht jugendfreie Videos hochgeladen, die angeblich das Ergebnis der Behandlung mit der vermeintlichen "Unfilter"-Software seien. Das soll die Besucher überzeugen, die Software zu installieren. Neue Nutzer erhalten von einem Chatbot zudem eine Nachricht, der zufolge sie einem GitHub-Projekt Sterne vergeben sollen – so schaffen die Angreifer ihren bösartigen GitHub-Projekten positive Reputation und hieven es sogar in die täglichen Trends von GitHub.
Laden Interessierte dort die Batch-Datei herunter und führen sie aus, installiert diese ein bösartiges Python-Paket mit dem WASP-Schadcode. Das Paket ist im steten Wandel, da es öfter auf GitHub entfernt und mit anderen Nutzer- und Projektnamen immer wieder neu erstellt wird. Die Schadsoftware wird dabei in mehreren Stufen geladen und teils mittels Steganografie etwa in Bildern versteckt. Die Programmierer der Malware haben angekündigt, auch .exe-Dateien zu verteilen. Dies erleichtert die Installation und Verankerung des Schädlings im Windows-Autostart sehr stark.
Checkmarx zufolge demonstrieren diese Angriffe, dass Cyberkriminelle nun das Ökosystem um Open-Source-Pakete im Visier hätten. Im kommenden Jahr erwarten die IT-Analysten einen zunehmenden Trend in diese Richtung.
Themenseite zu Malware auf heise online
(dmk)