Angebliche Spiele-Tests führen zu Infostealer-Infektion

Cyberkriminelle versuchen, Opfern Infostealer unterzuschieben, indem sie diese um Teilnahme an vermeintlichen Beta-Tests von Spielen bitten. Insbesondere auf Discord-Diskussionsservern läuft diese Kampagne derzeit.

In einem Blogbeitrag erklären die Virenanalysten von Malwarebytes, dass die Drahtzieher potenziellen Opfern Direktnachrichten auf Discord senden. Weitere Kanäle sind Textnachrichten und E-Mails. Oftmals käme die Nachricht vom angeblichen Entwickler selbst; das sei eine übliche Methode, um Opfer zu ködern.

Bei Interesse: Downloadlink

Zeigen sich die Angesprochenen interessiert, schicken die Kriminellen einen Downloadlink und ein Passwort für das Archiv, das den Installer enthält. Die Links führen unter anderem zu Dropbox, Catbox und oftmals sogar in das Content-Delivery-Network (CDN) von Discord selbst. Dafür nutzen die Angreifer kompromittierte Zugänge, die für mehr Glaubwürdigkeit sorgen sollen, erörtern die IT-Sicherheitsforscher.

Sie haben die Malware sowohl als NSIS-, als auch als MSI-Installer verpackt beobachtet. Darin finden sich mehrere Varianten, Malwarebytes nennt Nova Stealer, Ageo Stealer oder Hexon Stealer. Die letzten beiden werden als Malware-as-a-Service (MaaS) angeboten, bei denen die Kriminellen die Malware und zugehörige Infrastruktur von anderen Tätern mieten können. Ausgelegt scheint die Malware darauf zu sein, im Webbrowser gespeicherte Zugangsdaten abzugreifen und Session-Cookies für Plattformen wie Discord und Steam sowie Informationen zu Krypto-Wallets zu stehlen.

Die Nova-Stealer-Infrastruktur bietet etwa einen Webhook für Discord an, wodurch die Täter bei bestimmten Ereignissen informiert werden. Sie müssen dadurch nicht ständig prüfen, ob neue Informationen vorliegen, sondern erhalten eine Alarmmeldung. Der Hexon Stealer sei relativ neu, erklären die Malware-Analysten. Er basiere auf dem Stealit-Stealer-Code und kann Discord-Token, 2FA-Backup-Codes, Browser-Cookies, Autofill-Daten, gespeicherte Passwörter, Kreditkarteninformationen und Kryptowallet-Daten ausleiten.

Malwarebytes schätzt, dass das Hauptinteresse der Infostealer Discord-Zugangsdaten gilt. Mit denen lasse sich das Netzwerk kompromittierter Konten ausbauen. Da zu den gestohlenen Informationen auch die Konten von Freunden gehören, können die Angreifer sich als diese ausgeben, was zu mehr Glaubwürdigkeit bei potenziellen Opfern führt. Am Ende steht jedoch weiterhin Geld im Fokus der Kriminellen, erklären die IT-Forscher.

Die Webseiten, die die vermeintlichen Spiele-Betas hosten, scheinen mit Templates gebaut zu sein und sehen sehr ähnlich aus. Sie werden oftmals bei Unternehmen gehostet, die so gut wie gar nicht auf Take-Down-Anfragen reagieren. Potenzielle Opfer sollen sich mit einer Anti-Malware-Software auf dem Rechner schützen, rät Malwarebytes. Anfragen von Freunden sollten auf anderen Kanälen verifiziert werden, etwa durch Kontaktieren auf anderen sozialen Medien oder per Textnachricht. Malwarebytes listet zudem einige Indizien für Infektionen (Indicators Of Compromise, IOCs) in Form von URLs auf.

Den Online-Kriminellen gehen die Ideen für Malware-Kampagnen nicht aus. Ende vergangenen Jahres haben sie etwa auf das populäre Thema Künstliche Intelligenz gesetzt. Anstatt eines kostenlosen KI-Videoeditors gab es jedoch ebenfalls lediglich Infostealer, die die Opfer ausspähen.

(dmk)