Juniper Threat Labs hat eine neue Spyware entdeckt, den Masad Stealer. Er verwendet Telegramm, um gestohlene Informationen herauszufiltern.
Die Sicherheitsforscher von Juniper Threat Labs haben eine neue Spyware entdeckt, die Windows-Rechner infiziert und Telegramm dazu nutzt, gestohlene Informationen herauszufiltern. In Schwarzmarktforen wird die Schadsoftware als „Masad Clipper and Stealer“ beworben und verkauft.
Der Masad Stealer wird in einer kostenlosen Version angeboten, bis hin zu einer voll funktionsfähigen Variante zu einem Preis von 85 US-Dollar. Die Malware sammelt und verschickt insgesamt 12 verschiedene Kategorien von Datensätzen, wie Browserdaten, Benutzernamen, Kennwörter, Kreditkarteninformationen, aber auch Krypto-Wallets.
Masad Stealer versteckt sich in Cracks & Tools
Der Masad Stealer ist in Autoit-Skript geschrieben und in eine ausführbare Windows-Datei kompiliert. Zur Infiltrierung auf die heimischen Rechner gelangt die Schadsoftware über beliebte, modifizierte Tools, wie den CCleaner. Häufig kommt sie auch vor in Tools von Drittanbietern. Juniper informiert: „Bedrohungsakteure erzielen Endnutzer-Downloads durch Werbung in Foren, auf Download-Sites von Drittanbietern oder auf Filesharing-Sites.“ Opfer können sich auch infizieren, indem sie verschiedene Software- und Spiele-Cracks oder Cheats installieren. Stets sollte man darum die Software nur aus vertrauenswürdigen Quellen herunterladen.
Im Fokus: 27 verschiedene Kryptowährungen
Die Sicherheitsforscher geben an, dass es die Betrüger auf 27 Kryptowährungen, wie Bitcoin, Monero, Dash, Ethereum, Zcash, Ripple, und Doge, abgesehen haben. Diese werden völlig automatisch abgegriffen und gehen dann in den Besitz der Täter über: „Wenn die Daten in der Zwischenablage mit einem der in Masad Stealer codierten Muster übereinstimmen, ersetzt die Malware die Daten in der Zwischenablage durch ein Wallet der Bedrohungsakteure, die sich auch in ihrer Binärdatei befinden“, stellte Juniper fest. Zudem ist es dem Masad Stealer möglich, beliebige Dateien von den befallenen Rechnern runterzuladen. Er beinhaltet auch die Option, noch zusätzliche Malware auf den Zielrechner nachzuladen. Somit kann man nicht ausschließen, dass sich das Repertoire der Malware nicht auch situationsbedingt anpassen lässt.
Hacker bekommt alle Informationen gepackt via Telegram
Der Masad Stealer sendet alle gesammelten Informationen an einen Telegramm-Bot. Der Hacker kann somit über den Telegramm-Messenger alles im Detail steuern. Da man den Masad Stealer als Standard-Malware verkauft, können ihn gleichzeitig mehrere Cyberkriminellen nutzen. Sofort nach der Installation sammelt die Spyware zunächst vertrauliche System-Informationen, Screenshots, Desktop-Textdateien, Steam Desktop Authenticator-Sitzungen, Browser-Cookies, Benutzernamen, Kennwörter und Kreditkarten-Information von den PCs der Opfer. Diese Informationen werden mit dem Dienstprogramm 7zip in eine Datei komprimiert, die in der Malware-Binärdatei enthalten ist. Mittels dieser Datei gelangen die gestohlenen Informationen zu den Tätern. Das Archiv wird mithilfe eindeutiger Telegramm-Bot-IDs auf den Befehls- und Steuerungsserver (C2) übertragen.
Die Verwendung von Telegram als Command and Control-Channel (CnC) ermöglicht der Malware eine gewisse Anonymität, da Telegram eine legitime Messaging-Anwendung mit 200 Millionen aktiven Benutzern im Monat ist. Die Entwickler der Malware haben außerdem eine Telegrammgruppe für ihre potenziellen Kunden eingerichtet, die vermutlich technischen Support bieten soll. Aktuell hat diese Gruppe mehr als 300 Mitglieder, informieren die Sicherheitsforscher. Juniper Threat Labs weist darauf hin, dass Masad Stealer eine aktive Bedrohung darstellt und der Schadcode weiterhin auf dem Schwarzmarkt erhältlich ist.
Bildquelle: Macedo_Media, thx! (Pixabay Lizenz)
Tarnkappe.info
