„CopperStealer-Malware-Crew kehrt mit erweiterten Rootkit- und Phishing-Kit-Modulen zurück“

Reading Time: ( Word Count: )

Mai 16, 2023
Nextdoorsec-course

Zwei neue Kampagnen der Bande, die hinter der CopperStealer-Malware steckt und versucht, CopperStealth- und CopperPhish-Geräte zu verbreiten, wurden im März und April 2023 gestartet.

Die Gruppe Water Orthrus, die finanzielle Motive hat, wird von Trend Micro aktiv beobachtet. Dieser Gegner wird auch für die Scranos-Kampagne verantwortlich gemacht, die Bitdefender Anfang 2019 angekündigt hat.

Water Orthrus ist seit mindestens 2021 tätig und nutzt seit jeher Pay-per-Install (PPI)-Netzwerke. Sie verwenden die von dem Dieb CopperStealer gestohlenen Daten, um Nutzer auf Websites umzuleiten, auf denen Software-Raubkopien installiert werden.

Die jüngsten von Trend Micro dokumentierten Angriffssequenzen unterscheiden sich nicht wesentlich von den bisherigen Mustern. CopperStealth wird als Installationspaket für kostenlose Dienstprogramme auf chinesischen Software-Sharing-Webseiten angeboten und so verbreitet.

In einer Studie beschrieben die Sicherheitsexperten Jaromir Horejsi und Joseph C. Chen , wie sich CopperStealth verbreitet, indem es ein Rootkit installiert und aktiviert, bevor es seine Malware in explorer.exe und andere Computerprogramme einschleust. Weitere Funktionen werden von diesen Paketen heruntergeladen und ausgeführt. Darüber hinaus schränkt das Rootkit den Zugriff auf blockierte Registrierungseinträge und die Ausführung bestimmter Anwendungen und Adapter ein.

Bytemuster, die mit den chinesischen Anbietern von Sicherheitsprogrammen Huorong, Kingsoft und Qihoo 360 verbunden sind, werden auf der Denyliste für Adapter aufgeführt.

Lesen Sie auch: „11 neue Schwachstellen entlarven OT-Netzwerke in industriellen Mobilfunkroutern“.

Die CopperPhish-Kampagne, die im April 2023 weltweit entdeckt wurde, nutzt ein ähnliches Verfahren zur Verbreitung der Malware. Es werden PPI-Systeme verwendet, die mit kostenlosen, namenlosen Websites verbunden sind, über die Dateien ausgetauscht werden.

Den Forschern zufolge werden die Besucher auf eine vom PPI-Netzwerk erstellte Download-Seite umgeleitet, nachdem sie auf dessen Werbung geklickt haben, die als Download-Link getarnt ist. PrivateLoader, die heruntergeladene Datei, ist für die Installation und den Betrieb verschiedener Viren zuständig.

Zu diesem Zweck startet CopperPhish ein rundll32-Programm und fügt ein einfaches Visual Basic-Programm in die Browser-Registerkarte ein, das auf eine bösartige URL zugreift. Auf dieser Seite werden die Opfer aufgefordert, einen QR-Code zur Identitätsüberprüfung zu scannen und einen Bestätigungscode einzugeben, um „das Netzwerk Ihres Geräts wiederherzustellen“.

Sobald die sensiblen Daten auf der Seite eingegeben wurden, zeigt die CopperPhish-Malware eine Meldung an, die besagt, dass die Identitätsüberprüfung bestanden wurde, und gibt einen Bestätigungscode ein. Die Malware deaktiviert sich selbst und entfernt alle bösartigen Programme auf dem System, wenn sie den richtigen Autorisierungscode erhält. Der Code für die Autorisierung und die Authentifizierung von Anmeldeinformationen sind zwei wichtige Funktionen, die die Wirksamkeit dieses Hacking-Kits verbessern.

Die unterschiedlichen Ziele dieser Kampagnen spiegeln die Entwicklung der Taktiken der Bedrohungsakteure wider und lassen auf den Versuch schließen, ihre Fähigkeiten zu verbessern und ihre finanziellen Gewinne zu steigern.

Diese Erkenntnisse kommen zustande, wenn bösartige Google-Anzeigen Nutzer dazu verleiten, gefälschte Installationsprogramme für KI-Tools wie Midjourney und ChatGPT von OpenAI herunterzuladen, die schließlich Stealer wie Vidar und RedLine auslösen.

Darüber hinaus wurde eine brandneue Traffic-Monetarisierungsfirma namens TrafficStealer identifiziert, die sich Paketfehler zunutze macht, um den Verkehr auf Websites umzuleiten und gefälschte Werbeklicks als Bestandteil einer profitablen illegalen Operation zu erzeugen.

Saher

Saher

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Die Popularität des Esports und seine Trends

Esports, die Welt der wettbewerbsorientierten Videospiele, ist in den letzten Jahren sehr populär geworden. Es ...

Online-Spiele, bei denen Sie Geld gewinnen können

Im digitalen Zeitalter sind Online-Spiele mehr als nur eine Quelle der Unterhaltung geworden. Es hat sich zu einer ...

Netstat vs. Nmap vs. Netcat: Verstehen der Unterschiede

In der Netzwerk- und Systemadministration helfen verschiedene Tools den Fachleuten bei der Analyse und ...

Nmap vs. Nessus: Ein umfassender Vergleich

Was die Netzwerksicherheit und die Bewertung von Schwachstellen anbelangt, so sind Nmap und Nessus zwei populäre ...
0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert