Gamer geraten ins Phishing-Fadenkreuz

Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

[datensicherheit.de, 22.01.2025] „Kürzlich haben Forscher von Malwarebytes in einem Blog-Beitrag eine neue Phishing-Kampagne vorgestellt, die auf Gamer abzielt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Die Opfer seien dabei mit dem Angebot, sogenannter Beta-Tester eines neuen Videospiels werden zu können, geködert worden. „Laden sie sich eine Archivdatei, die das vermeintliche Spiel enthält, auf ihr System herunter, befinden sich ,Infostealer’ unter den Daten.“ Deren Ziel sei das Abgreifen von Finanzdaten – sowie der Kontaktdaten etwaiger Gaming-Freunde.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu regelmäßigen Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins

Phishing-Angreifer setzen neben herkömmlichen E-Mails und Textnachrichten auf Direktnachrichten der Gaming-Chat-App „Discord“

Um mit ihren potenziellen Opfern in Kontakt zu treten, setzten die Angreifer, neben herkömmlichen E-Mails und Textnachrichten, auf Direktnachrichten der Gaming-Chat-App „Discord“. Die Angeschriebenen würden gefragt, ob sie Interesse daran hätten, Beta-Tester für ein neues Videospiel werden. „Um die Anfrage möglichst realistisch erscheinen zu lassen, geben sich die Angreifer dabei oft als Spiele-Entwickler aus.“

Signalisiert ein Opfer Interesse, würden ihm ein Passwort und ein Download-Link zu einem Archiv geschickt, auf dem sich das Installationsprogramm des Spiels befinden solle. Der Download erfolge dabei in aller Regel über typische Filehosting-Dienste, wie „Dropbox“ und „Catbox“, oder auch das „Discord Content Delivery Network“ (CDN). Häufig kämen hierbei kompromittierte Nutzerkonten zum Einsatz, um die vermeintliche Glaubwürdigkeit dieses Angebots zu unterstreichen.

Lädt ein Phishing-Opfer das Archiv herunter, befindet sich unter den Dateien auch Malware

Dr. Krämer warnt: „Lädt sich ein Opfer dann das Archiv herunter, befindet sich unter den Dateien auch Malware. Um sie zu tarnen, bringen die Angreifer NSIS-Installer und MSI-Installer zum Einsatz. Drei unterschiedliche Infostealer haben die Experten von Malwarebytes ausgemacht: ,Nova Stealer’, ,Ageo Stealer’ und ,Hexon Stealer’.“

Bei „Nova Stealer“ und „Ageo Stealer“ handele es sich um Malware-as-a-Service-Stealer. „Diese sind spezialisiert auf den Diebstahl von Anmeldeinformationen, die in Browsern abgespeichert werden, von Sitzungs-Cookies – von Plattformen wie ,Discord’ und ,Steam’ – sowie von Informationen, die in Zusammenhang mit Krypto-Währungs-Wallets stehen.“ Ein Teil der „Nova Stealer“-Infrastruktur sei ein „Discord“-Webhook, der es Cyber-Kriminellen ermögliche, über den Server Daten an den Client senden zu lassen, sobald ein bestimmtes Ereignis eintritt. So müssten die Angreifer nicht regelmäßig nach den erhofften Informationen suchen, sondern würden automatisch benachrichtigt, sobald diese eintreffen.

Eines der Hauptinteressen der Phishing-Kriminellen scheint die Kompromittierung weiterer „Discord“-Nutzerkonten zu sein

Der „Hexon“-Stealer sei relativ neu. Er basiere auf dem Code von „Stealit Stealer“ und sei in der Lage, „Discord“-Token, 2FA-Backup-Codes, Browser-Cookies, Autofill-Daten, gespeicherte Passwörter, Kreditkartendaten und sogar Informationen zu Krypto-Währungs-Wallets zu exfiltrieren.

„Eines der Hauptinteressen der Kriminellen scheint die Kompromittierung weiterer ,Discord’-Nutzerkonten zu sein. Um erfolgreich in großem Stil Phishing, ,Spear Phishing’ und ,Social Engineering’ betreiben zu können, sind sie auf eine möglichst große Zahl kompromittierter Nutzerkonten angewiesen, über die sie mit ihren potenziellen Opfern interagieren können.“ „Discord“-Konten von Gamern seien da sehr interessant, da viele Opfer mit ihren Freunden über diese Chat-App verbunden seien. Mit den kompromittierten Konten könnten die Angreifer ihren Opfern vorgaukeln, Gamer-Freunde zu sein – und sie dann, zum Beispiel, zu Details ihres Arbeitsplatzes ausfragen.

Angriffskampagne zeigt, dass Phishing, „Spear Phishing“- und „Social Engineering“ immer tiefer in unseren Alltag vordringen

Diese Angriffskampagne zeigt demnach, dass Phishing, „Spear Phishing“- und „Social Engineering“ immer tiefer in unseren Alltag vordringen. Angreifer nutzten mittlerweile jeden sich bietenden Ansatzpunkt, um an Daten zu gelangen, die ihnen für weitere Angriffe dienlich sein könnten. „‚Compromise now, benefit later‘ lautet die Devise. Unternehmen müssen hier stärker gegensteuern. Sie müssen ihr Human Risk Management (HRM) ausbauen und erweitern!“

Regelmäßige Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins hätten dabei ebenso im Fokus zu stehen, wie der Ausbau der Sicherheit der E-Mail-Kommunikation – zum Beispiel durch die Implementierung KI-gestützter E-Mail-Sicherheitslösungen. „Anders wird der sich stetig verschlechternden Bedrohungslage in Punkto Mitarbeiter-Kompromittierung kaum beizukommen sein“, so Dr. Krämer abschließend.

Weitere Informationen zum Thema:

Malwarebytes LABS, Pieter Arntz, 03.01.2025
“Can you try a game I made?” / Fake game sites lead to information stealers