Aktuelles, Branche - geschrieben von dp am Mittwoch, Oktober 30, 2024 19:31 - noch keine Kommentare
Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
Der für Cyber-Attacken genutzte Remote-Access-Trojaner laut Kaspersky-Erkenntnissen vermutlich APT-Akteur „DeathStalker“ zuzurechnen
[datensicherheit.de, 30.10.2024] Kaspersky warnt in einer aktuellen Stellungnahme vor einer Malware-Kampagne, welche sich demnach gegen sogenannte FinTech-Nutzer richtet. Auch in Deutschland und Österreich gebe es Betroffene – vorwiegend kleine und mittlere Unternehmen (KMU), Finanz- und FinTech-Akteure sowie Anwaltskanzleien. Der für die Attacken genutzte Remote-Access-Trojaner sei vermutlich dem APT-Akteur „DeathStalker“ zuzurechnen.
Laut Kaspersky-Telemetrie richtet sich globale Malware-Kampagne gegen Nutzer in 20 Ländern
Kaspersky habe eine weltweite Spionage-Kampagne entdeckt, welche sich gegen die FinTech- und Trading-Branche richte – betroffen seien sowohl Unternehmen als auch Einzelpersonen: „Dabei nutzen die Bedrohungsakteure ,Telegram’-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware. Das ,Global Research and Analysis Team’ von Kaspersky (GReAT) vermutet hinter der Kampagne den Hack-for-Hire-APT-Akteur ,DeathStalker’, der bereits öfters in Erscheinung trat und sich auf die Finanzbranche spezialisiert hat.“
Laut Kaspersky-Telemetrie richtet sich die globale Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. „Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Bedrohungsakteure, ihre Opfer mit der Malware ,DarkMe’ über ,Telegram’-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren.“ Bei „DarkMe“ handele es sich um einen Remote-Access-Trojaner (RAT), der Informationen stehlen und Remote-Befehle ausführen könne, welche von einem unter Täter-Kontrolle stehenden Server stammten.
Die Installation dieser Malware sei das Ende einer Infektionskette, welche höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolge. Sie seien in ein Dateiarchiv verpackt – wie zum Beispiel RAR oder ZIP –, welches wiederum Anhang eines „Telegram“-Posts der Angreifer sei. Nach erfolgreicher Installation entferne die Malware die zur Bereitstellung des „DarkMe“-Implantats benötigten Dateien, vergrößere dieses Implantat und lösche weitere Spuren, welche auf eine Malware-Infektion hindeuten könnten.
Kasperky-Experten: APT „DeathStalker“ vermutlich für Angriffe verantwortlich
Kasperky-Experten vermuten hinter diesen Cyber-Angriffen den Bedrohungsakteur „DeathStalker“ (früher „Deceptikons“): „Eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. ,DeathStalker’ entwickelt eigene Toolsets und gilt als APT-Experte.“ Hauptziel sei das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, welche sich davon wohl Wettbewerbsvorteile versprächen.
„Angegriffen werden vorwiegend kleine und mittlere Unternehmen, Finanz- und FinTech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen.“ Da noch nie ein Diebstahl von Geldern beobachtet worden sei, stufe Kaspersky „DeathStalker“ als eine nicht-staatliche Geheimorganisation ein, welche zudem großen Wert auf die Verschleierung ihrer Aktionen lege und gerne „unter falscher Flagge“ operiere.
„Anstelle von traditionellen Phishing-Methoden nutzen Bedrohungsakteure nun auch ,Telegram’-Kanäle zur Verbreitung ihrer Malware“, so Maher Yamout, „Lead Security Researcher“ im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Bereits in früheren Kampagnen habe man beobachten können, dass Messaging-Plattformen wie „Skype“ als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauten potenzielle Opfer dort eher den Absendern und öffneten schädliche Dateien. „Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download“, erläutert Yamout. Dies spiele den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließe auch Instant-Messaging-Apps wie „Skype“ und „Telegram“ ein.
Kaspersky-Empfehlungen zum Schutz vor „DarkMe“
Für Privatpersonen empfiehlt Kaspersky:
- die Installation einer vertrauenswürdigen Sicherheitslösung (wie z.B. „Kaspersky Premium“)
- und sich stets über aktuelle Cyber-Angriffe etwa mit Hilfe einschlägiger Blogs zu informieren.
Unternehmen empfiehlt Kaspersky folgende Maßnahmen zum Schutz vor fortgeschrittenen Bedrohungen:
- „Die unternehmenseigenen Sicherheitsexperten benötigen tiefgreifenden Einblick in alle Cyber-Bedrohungen, denen das Unternehmen ausgesetzt sein könnte.“ „Kaspersky Threat Intelligence“ beispielsweise vermittele umfassende und aussagekräftige Erkenntnisse im Kontext des Vorfallmanagements und solle dabei helfen, Cyber-Risiken rechtzeitig zu erkennen.
- Zusätzlich sollten Mitarbeiter über Cybersecurity-Kurse auf dem Laufenden gehalten werden. Kaspersky z.B. biete mit seinem „Kaspersky Expert Training Portfolio“ praxisorientierte Schulungsangebote für InfoSec-Experten an.
- „Kaspersky Next“ schließlich biete etwa Unternehmen jeder Größenordnung und Branche Echtzeitschutz, fortschrittliche Endpoint-Protection sowie umfassende EDR- und XDR-Technologien.
Weitere Informationen zum Thema:
kaspersky daily
Neueste Beiträge
Aktuelles, Experten - Nov 26, 2024 18:18 - noch keine Kommentare
Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
weitere Beiträge in Experten
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
Aktuelles, Branche - Nov 26, 2024 18:29 - noch keine Kommentare
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
weitere Beiträge in Branche
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren