Aktuelles, Branche - geschrieben von dp am Mittwoch, Oktober 23, 2024 17:23 - noch keine Kommentare
Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome
Nach Kaspersky-Erkenntnissen konnte der Bedrohungsakteur eine aufwändige und glaubwürdige Fälschung eines „NFT Games“ zur Ausnutzung der Schwachstelle erstellen
[datensicherheit.de, 23.10.2024] Mittels aufwändiger Fälschung eines Online-Spiels habe „Lazarus“ sogenannte Krypto-Währungen stehlen können – das gefälschte Spiel sei von dieser cyber-kriminellen Gruppe über Soziale Medien stark beworben worben und habe eine Zero-Day-Schwachstelle in „Google Chrome“ ausgenutzt, um entsprechende Spyware zu installieren und an die „Wallet“-Anmeldedaten zu gelangen. Das „Global Research and Analysis Team“ von Kaspersky (GReAT) hat nach eigenen Angaben seine Erkenntnisse hierzu auf dem „Kaspersky Security Analysis Summit“ (SAS) 2024 vorgestellt. Kaspersky habe diese Schwachstelle an Google gemeldet, woraufhin diese geschlossen worden sei.
Telemetriedaten des „Kaspersky Security Network“ deckten Angriff mit Malware „Manuscript“ auf
Die GReAT-Experten identifizierten demnach im Mai 2024 bei der Analyse der Telemetriedaten des „Kaspersky Security Network“ (KSN) einen Angriff mit der Malware „Manuscript“, welche seit 2013 vom Bedrohungsakteur „Lazarus“ verwendet werde. „GReAT konnte seitdem mehr als 50 einzelne solcher Kampagnen in verschiedenen Branchen dokumentieren.“ Die nun aufgedeckte Kampagne verwende Social-Engineering-Techniken und sogenannte Generative KI, um Besitzer von „Krypto-Währungen“ anzugreifen.
„Lazarus“ sei für die Ausnutzung von Zero-Day-Exploits bekannt. In der aktuellen Kampagne habe dieser Bedrohungsakteur zwei Schwachstellen ausgenutzt – darunter auch die bislang unbekannte Schwachstelle „Type-Confusion“ (CVE-2024-4947) in „V8“ (also der mit Open-Source-Technologie programmierten „JavaScript“- und „WebAssembly“-Engine von „Google Chrome“). Dadurch hätten die Angreifer einen beliebigen Code ausführen, Sicherheitsfunktionen umgehen und verschiedene schädliche Aktivitäten durchführen können. „Mittels der zweiten Schwachstelle umging ,Lazarus’ den schützenden Sandbox-Mechanismus von ,V8‘.“
Kaspersky-Experten gehen davon aus, dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen
„Für ihre Kampagne erstellten die Angreifer eine sorgfältig gestaltete, aber gefälschte Website eines auf ,Non-Fungible Tokens’ (NFT) basierenden Spiels, bei dem Gamer in einen weltweiten Wettbewerb mit ihren Panzern antreten und Geld verdienen können (,Play to Earn’).“
Um diesem Spiel eine möglichst hohe Glaubwürdigkeit und der Kampagne Effizienz zu verleihen, habe es „Lazarus“ über Social-Media-Accounts auf „X“ (ehemals „Twitter“) und „LinkedIn“ monatelang beworben, auch mit Hilfe KI-generierter Bilder. Da die Gruppe bereits in der Vergangenheit ihre Operationen mit „Generativer KI“ angereichert habe, gehen Kaspersky-Experten davon aus, „dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen“.
Folgen hätten laut Kaspersky noch viel weitreichender ausfallen und Nutzer sowie Unternehmen weltweit betreffen können
Als Prototyp für das gefälschte Spiel habe den Angreifern ein legitimes „NFT-Game“ gedient: „Das gefälschte Spiel unterschied sich vom legitimen nur in der Platzierung des Logos und der visuellen Qualität. Das Design des Fake-Spiels war dem Original daher sehr ähnlich. Um die Illusion möglichst perfekt zu halten, wurde das gefälschte Game mit dem gestohlenen Original-Quellcode entwickelt, Logos sowie Referenzen gegenüber dem Original jedoch abgeändert.“ Aus den „Wallets“ der Spiele-Entwickler sei nach Beginn der „Lazarus“-Kampagne „Krypto-Währung“ im Wert von 20.000 US-Dollar verschwunden. Zudem seien „Krypto-Influencer“ für diese Kampagne instrumentalisiert worden. Die „Lazarus“-Gruppe habe deren Präsenz in den Sozialen Medien zur Verbreitung ihres gefälschten Spiels ausgenutzt; auch deren „Krypto-Wallets“ seien attackiert worden.
„Es ist nicht neu, dass Bedrohungsakteure nach finanziellen Gewinnen streben, doch diese Kampagne war einzigartig“, berichtet Boris Larin, „Principal Security Expert Global Research and Analysis Team“ bei Kaspersky. Er führt weiter aus: „Dass die Angreifer ein voll funktionsfähiges Spiel erstellen, um ein ,Zero-Day’ in ,Google Chrome’ auszunutzen und Zielsysteme zu infizieren, übersteigt die bislang bekannte Taktik.“ Akteure wie „Lazarus“ machten so selbst scheinbar harmlose Aktionen – wie den Klick auf einen Link in Sozialen Netzwerken oder einer E-Mail – zu einem Risiko, das bis zur vollständigen Kompromittierung des PCs oder eines ganzen Unternehmensnetzwerks reichen könne. Dass diese Kampagne mit beträchtlichem Aufwand betrieben worden sei, deute auf ehrgeizige Pläne der Angreifer hin. „Die tatsächlichen Folgen hätten noch viel weitreichender ausfallen können und Nutzer sowie Unternehmen weltweit betreffen können.“
Weitere Informationen zum Thema:
SECURELIST by Kaspersky, 23.10.2024
The Crypto Game of Lazarus APT: Investors vs. Zero-days
KASPERSKY SECURITY NETWORK (KSN)
Ein globales, auf Data Science basierendes Netzwerk zum Austausch von Threat Intelligence
datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken
datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert
datensicherheit.de, 26.10.2021
Hacker-Gruppe Lazarus attackiert Verteidigungsindustrie / Zudem entwickelt Lazarus Fähigkeiten für Supply-Chain-Angriffe
Aktuelles, Experten, Veranstaltungen - Juni 30, 2025 0:53 - noch keine Kommentare
Smart Country Convention 2025: BMDS übernimmt SCCON-Schirmherrschaft
weitere Beiträge in Experten
- DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig
- Kupfer-Glas-Migration: Verbraucherzentrale fordert Verhinderung von Versorgungslücken und Preissteigerungen
- Übersicht von Digitalcourage: Deutschlandticket ohne App-Zwang
- Sommerakademie 2025 in Kiel befasst sich mit der Wechselwirkung von Sicherheit und Datenschutz
- BfDI meldet erfolgreichen Abschluss der „ICIC 2025“
Aktuelles, Branche, Studien - Juli 1, 2025 0:33 - noch keine Kommentare
Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen
weitere Beiträge in Branche
- Sommer, Sonne, Sicherheitsrisiko: Sophos-Tipps für hohen Cyberschutzfaktor auch auf Reisen
- USB-basierte Angriffe: Wie Unternehmen diesem Sicherheitsrisiko begegnen
- CISO-Reifeprüfung – in fünf Stufen zur Cyberresilienz
- Not really ready for Takeoff: 42 Prozent der Fluggäste ignorieren heimlich den Flugmodus
- Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren