sich selbst verbreitende Malware greift Spieler an / Sudo Null IT News

Letzte Woche, Experten von Kaspersky Lab

veröffentlicht

eine ausführliche Analyse eines Stealers (= Schadprogramm zum Datendiebstahl), die sich an Fans von Computerspielen richtet. Bei diesem Angriff auf Spieler wurde eine eher ungewöhnliche Verbreitungsmethode verwendet. Eine Computerinfektion tritt in der Regel auf, nachdem der Benutzer beginnt, nach gehackten Versionen beliebter Spiele oder Cheat-Sets zu suchen. Die Antwort auf solche Suchanfragen ist per Definition mit schädlichen Links übersät, aber in diesem Fall gibt es eine interessante Nuance: Das potenzielle Opfer erhält einen Link zum Video.

Das Video erzählt vom Hacking-Vorgang, der Download-Link ist in der Beschreibung angehängt. Über den Link lädt der Nutzer ein selbstextrahierendes Archiv herunter, woraufhin gleich mehrere Schadprogramme auf seinem Rechner ausgeführt werden. Die Besonderheit dieses Angriffs besteht darin, dass die Malware die Cookies des Benutzers stiehlt, die für den Zugriff auf das YouTube-Konto erforderlich sind. Und lädt ein weiteres Video hoch, das den Hack des beliebten Spiels beschreibt, bereits im Profil des Opfers.


Die bösartige Kampagne zielt auf beliebte Spiele ab. Forscher haben Hack-Videos von Veröffentlichungen wie APB Reloaded, CrossFire, DayZ, Dying Light 2, F1 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Lego Star Wars und mehr zusammengestellt. Der Inhalt des Archivs unter dem Link sieht so aus:

Die schwarzen Quadrate sind nicht dazu da, die Geheimnisse der Virenschreiber zu bewahren; Sie haben einfach beschlossen, die Dateien im Archiv mit Wörtern aus drei, vier und fünf Buchstaben zu benennen, die in einer anständigen Gesellschaft nicht üblich sind.

Das Hauptziel des Angriffs ist nach wie vor Datendiebstahl. Verantwortlich dafür ist ein modifizierter Redline-Stealer, der aktiv in Untergrundforen verkauft wird und mehrere hundert Dollar kostet – für cyberkriminelle Maßstäbe relativ günstig. Redline stiehlt alles potenziell Nützliche: Logins, Passwörter, Cookies für den Zugriff auf beliebte Dienste, automatisches Ausfüllen in Browsern, einschließlich Zahlungsdaten, Anmeldeinformationen von FTP-, VPN- und SSH-Clients, Krypto-Wallet-Daten. Es ist auch möglich, Dateien mit bestimmten Berechtigungen zu stehlen, beliebigen Code herunterzuladen und auszuführen, Links im Browser zu öffnen. Im Allgemeinen gehört Ihr Computer nach einem solchen Angriff nicht wirklich Ihnen.

Drei weitere Dateien sind für die Verbreitung auf YouTube zuständig. Die Datei Download.exe lädt die aktuelle Version des Videos herunter. Download-Links (von beliebten Datei-Hosting-Sites) stammen aus dem Github-Repository der Cyberkriminellen. Bemerkenswert ist die monströse Größe von download.exe für solch eine einfache Funktionalität – 35 Megabyte. Der Grund dafür ist, dass sich darin der NodeJS-Interpreter, der Anwendungscode und die erforderlichen Abhängigkeiten befinden. Die Datei MakiseKurisu.exe stiehlt Cookies aus dem Browser, um auf YouTube zuzugreifen. Ursprünglich hatte diese Anwendung auch eine viel breitere Funktionalität (Versuche, böswillige Aktivitäten zu verbergen, Erkennung von Debuggern, Ausführung in einer virtuellen Umgebung), die deaktiviert war. Schließlich lädt upload.exe das Video auf das Konto des Opfers hoch, und die Organisatoren erhalten eine Erfolgsmeldung im Discord-Kanal.

Sahnehäubchen: ein im Bundle integrierter Cryptominer. Der Angriff richtet sich auf Gamer, richtig? Das bedeutet, dass sie eine Grafikkarte haben, was bedeutet, dass sie minen können. Zusätzlich zu dieser Studie veröffentlichte Kaspersky Lab Anfang September eine große Übersicht über Bedrohungen für Gamer, die auch besagt, dass die Suche nach Cheats und Cracks im Internet der sicherste Weg ist, an Malware zu kommen. Die TOP 5 Spieletitel, die von Cyberkriminellen ausgenutzt werden, sind: Minecraft, FIFA, Roblox, Far Cry, Call of Duty. Die Folgen von Hacking sind in der Regel der Diebstahl von Daten und vor allem Geldern von realen und virtuellen Währungskonten.

Was ist sonst noch passiert:

Frisch lernen ergänzt gut das Thema der letzten Woche über die Erkennung von funktionierenden Mikrofonen. In einer neuen Arbeit haben Wissenschaftler aus den Vereinigten Staaten beschlossen, herauszufinden, wie einfach es ist, Informationen zu entschlüsseln, die vom Bildschirm in der Brille eines Konferenzteilnehmers reflektiert werden. Wenn Sie eine Brille tragen und es immer noch nicht wissen, erinnern wir Sie: Es ist leicht genug zu verstehen, ob Sie eine Telefonkonferenz oder etwas Persönliches sehen. In der Studie wird dieses allgemeine Verständnis konkretisiert: Mit einer relativ hohen Erfolgswahrscheinlichkeit (75 %) ist es möglich, einen in 28-Punkt-Größe gedruckten Text zu entschlüsseln. Große Titel können an der Reflexion auf den Gläsern der Brille gelesen und erkannt werden. Und wenn die Kameraauflösung höher ist, kann mit kleinerem Text gearbeitet werden.

Wie viel einfacher es ist, eine Qualitätskamera zu gucken, zeigt die folgende Abbildung. (b) ist eine 720p-Kamera, © ist 1080p, (d) ist eine Nikon-Digitalkamera.

Große Neuigkeiten von letzter Woche brechen Uber-Infrastruktur. Das Unternehmen selbst ist nur Bestätigt Tatsache des Vorfalls, ohne Einzelheiten preiszugeben. Aber es gibt viele unbestätigte Daten (siehe die Nachrichten zu Habré). Ihr kurzer Inhalt lautet wie folgt: Vermutlich mit Hilfe von Social Engineering hat sich ein Hacker in das Konto eines einfachen Mitarbeiters gehackt und dann ein Skript gefunden, in das die Daten des “admin”-Kontos eingenäht wurden. Es verschaffte dem Angreifer Zugriff auf eine Vielzahl interner Dienste: von einem Chat in Slack bis zu einem Konto im Bug-Bounty-Programm des HackerOne-Dienstes. Auch hier wird gemunkelt, dass der Cracker (der möglicherweise erst 18 Jahre alt ist) auf HackerOne viele ätzende Kommentare zu den gefundenen Schwachstellen hinterlassen hat. Er fluchte auch in Slack und sagte unverblümt, dass er hier alles gehackt habe. Aber niemand hat ihm geglaubt … Um das objektive Bild des Hacks zu beurteilen, möchte ich noch auf Informationen des Geschädigten warten.

Ein weiterer Hack: Die Entwickler von LastPass Password Manager enthüllen Details zum August-Hack (Original, Neuigkeiten zu Habré), wodurch die Angreifer 4 Tage lang Zugriff auf die Entwicklungsumgebung behielten. Benutzerdaten waren nicht betroffen.

Similar Posts

Leave a Reply

Your email address will not be published.