Am Mittwoch gab Google bekannt, dass es in den USA eine vorläufige gerichtliche Verfügung erwirkt hat, um die Verbreitung von Malware namens CryptBot zu unterbinden. Die Spyware sammelt private Informationen von Google Chrome-Benutzern, einschließlich Anmeldeinformationen für Konten in sozialen Netzwerken, Konten für digitale Währungen und Authentifizierungsdetails.

Im Jahr 2022 wurden mehr als 670 000 PCs von CryptBot angegriffen, und die erbeuteten Daten wurden an verschiedene Hacker weitergegeben, die sie für ihre Hacking-Aktivitäten nutzten. Auf gerichtliche Anordnung hin plant Google, alle aktiven und potenziellen Websites zu entfernen, die mit der Verbreitung von CryptBot in Verbindung stehen.

Mike Trinh und Pierre-Marc Bureau von Google erklärten, dass der Tech-Gigant Maßnahmen ergreift, um Personen zu bestrafen, die von der Verbreitung von Ransomware profitieren und deren illegale Besitzer verantwortlich machen. CryptBot, der erstmals im Dezember 2019 identifiziert wurde, verbreitet sich über absichtlich veränderte Versionen bekannter Softwareprogramme wie Google Earth Pro und Google Chrome, die auf gefälschten Websites gespeichert werden.

Lesen Sie auch: “Chinesische Hacker erweitern ihre Ziele mit der PingPull Linux-Variante: Finanz- und Regierungsinstitutionen gefährdet”

Die Infektion wurde über gehackte Websites von Dieben verbreitet, die “geknackte” Versionen verschiedener Programme und Videospiele anbieten.

Im Dezember 2021 entdeckte Red Canary eine CryptBot-Kampagne, die KMSPico, ein inoffizielles Tool zur Aktivierung von Microsoft Office und Windows ohne Lizenzschlüssel, als Übertragungsvektor nutzte. BlackBerry aktualisierte und veröffentlichte den schädlichen Informationsdiebstahl im März 2022 über gehackte Piraterie-Websites. Google glaubt, dass die führenden CryptBot-Händler von Pakistan aus eine globale kriminelle Organisation betreiben.

Die Benutzer werden aufgefordert, nur Anwendungen von vertrauenswürdigen Websites herunterzuladen, das Feedback sorgfältig zu lesen und sicherzustellen, dass sowohl die Software als auch das Betriebssystem auf ihrem Gerät aktualisiert werden, um die Gefahren solcher Angriffe zu minimieren. Die Offenlegung durch Google erfolgte, nachdem Microsoft, Fortra und Health-ISAC Server, auf denen illegale Kopien von Cobalt Strike gehostet wurden, rechtmäßig abgeschaltet hatten, um den Missbrauch des Tools durch Bedrohungsakteure zu verhindern. Im Dezember 2021 ersetzte Google das mit dem Glupteba-Botnet verbundene Auftrags- und Kontrollsystem. Sechs Monate später kehrte das Virus jedoch mit einem “verstärkten” Angriff zurück.