[datensicherheit.de, 23.10.2024] Mittels aufwändiger Fälschung eines Online-Spiels habe „Lazarus“ sogenannte Krypto-Währungen stehlen können – das gefälschte Spiel sei von dieser cyber-kriminellen Gruppe über Soziale Medien stark beworben worben und habe eine Zero-Day-Schwachstelle in „Google Chrome“ ausgenutzt, um entsprechende Spyware zu installieren und an die „Wallet“-Anmeldedaten zu gelangen. Das „Global Research and Analysis Team“ von Kaspersky (GReAT) hat nach eigenen Angaben seine Erkenntnisse hierzu auf dem „Kaspersky Security Analysis Summit“ (SAS) 2024 vorgestellt. Kaspersky habe diese Schwachstelle an Google gemeldet, woraufhin diese geschlossen worden sei.

Telemetriedaten des „Kaspersky Security Network“ deckten Angriff mit Malware „Manuscript“ auf

Die GReAT-Experten identifizierten demnach im Mai 2024 bei der Analyse der Telemetriedaten des „Kaspersky Security Network“ (KSN) einen Angriff mit der Malware „Manuscript“, welche seit 2013 vom Bedrohungsakteur „Lazarus“ verwendet werde. „GReAT konnte seitdem mehr als 50 einzelne solcher Kampagnen in verschiedenen Branchen dokumentieren.“ Die nun aufgedeckte Kampagne verwende Social-Engineering-Techniken und sogenannte Generative KI, um Besitzer von „Krypto-Währungen“ anzugreifen.

„Lazarus“ sei für die Ausnutzung von Zero-Day-Exploits bekannt. In der aktuellen Kampagne habe dieser Bedrohungsakteur zwei Schwachstellen ausgenutzt – darunter auch die bislang unbekannte Schwachstelle „Type-Confusion“ (CVE-2024-4947) in „V8“ (also der mit Open-Source-Technologie programmierten „JavaScript“- und „WebAssembly“-Engine von „Google Chrome“). Dadurch hätten die Angreifer einen beliebigen Code ausführen, Sicherheitsfunktionen umgehen und verschiedene schädliche Aktivitäten durchführen können. „Mittels der zweiten Schwachstelle umging ,Lazarus’ den schützenden Sandbox-Mechanismus von ,V8‘.“

Kaspersky-Experten gehen davon aus, dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen

„Für ihre Kampagne erstellten die Angreifer eine sorgfältig gestaltete, aber gefälschte Website eines auf ,Non-Fungible Tokens’ (NFT) basierenden Spiels, bei dem Gamer in einen weltweiten Wettbewerb mit ihren Panzern antreten und Geld verdienen können (,Play to Earn’).“

Um diesem Spiel eine möglichst hohe Glaubwürdigkeit und der Kampagne Effizienz zu verleihen, habe es „Lazarus“ über Social-Media-Accounts auf „X“ (ehemals „Twitter“) und „LinkedIn“ monatelang beworben, auch mit Hilfe KI-generierter Bilder. Da die Gruppe bereits in der Vergangenheit ihre Operationen mit „Generativer KI“ angereichert habe, gehen Kaspersky-Experten davon aus, „dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen“.

Folgen hätten laut Kaspersky noch viel weitreichender ausfallen und Nutzer sowie Unternehmen weltweit betreffen können

Als Prototyp für das gefälschte Spiel habe den Angreifern ein legitimes „NFT-Game“ gedient: „Das gefälschte Spiel unterschied sich vom legitimen nur in der Platzierung des Logos und der visuellen Qualität. Das Design des Fake-Spiels war dem Original daher sehr ähnlich. Um die Illusion möglichst perfekt zu halten, wurde das gefälschte Game mit dem gestohlenen Original-Quellcode entwickelt, Logos sowie Referenzen gegenüber dem Original jedoch abgeändert.“ Aus den „Wallets“ der Spiele-Entwickler sei nach Beginn der „Lazarus“-Kampagne „Krypto-Währung“ im Wert von 20.000 US-Dollar verschwunden. Zudem seien „Krypto-Influencer“ für diese Kampagne instrumentalisiert worden. Die „Lazarus“-Gruppe habe deren Präsenz in den Sozialen Medien zur Verbreitung ihres gefälschten Spiels ausgenutzt; auch deren „Krypto-Wallets“ seien attackiert worden.

„Es ist nicht neu, dass Bedrohungsakteure nach finanziellen Gewinnen streben, doch diese Kampagne war einzigartig“, berichtet Boris Larin, „Principal Security Expert Global Research and Analysis Team“ bei Kaspersky. Er führt weiter aus: „Dass die Angreifer ein voll funktionsfähiges Spiel erstellen, um ein ,Zero-Day’ in ,Google Chrome’ auszunutzen und Zielsysteme zu infizieren, übersteigt die bislang bekannte Taktik.“ Akteure wie „Lazarus“ machten so selbst scheinbar harmlose Aktionen – wie den Klick auf einen Link in Sozialen Netzwerken oder einer E-Mail – zu einem Risiko, das bis zur vollständigen Kompromittierung des PCs oder eines ganzen Unternehmensnetzwerks reichen könne. Dass diese Kampagne mit beträchtlichem Aufwand betrieben worden sei, deute auf ehrgeizige Pläne der Angreifer hin. „Die tatsächlichen Folgen hätten noch viel weitreichender ausfallen können und Nutzer sowie Unternehmen weltweit betreffen können.“

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 23.10.2024
The Crypto Game of Lazarus APT: Investors vs. Zero-days

KASPERSKY SECURITY NETWORK (KSN)
Ein globales, auf Data Science basierendes Netzwerk zum Austausch von Threat Intelligence

datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert

datensicherheit.de, 26.10.2021
Hacker-Gruppe Lazarus attackiert Verteidigungsindustrie / Zudem entwickelt Lazarus Fähigkeiten für Supply-Chain-Angriffe

[datensicherheit.de, 19.04.2021] Zum zweiten Mal innerhalb einer Woche sei ein Proof-of-Concept-Exploit (PoC Exploit) für eine Zero-Day-Schwachstelle in „Google Chrome“ veröffentlicht worden, meldet Tenable: „Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von ,Google Chrome‘ und ,Microsoft Edge (Chromium)‘ verwendeten ,V8 JavaScript‘-Engine.“ Hierzu habe sich Tenable bereits geäußert.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Beide öffentlich bekannt gemachten Schwachstellen für sich genommen nur von begrenztem Wert

Separate Sicherheitslücke erforderlich, um aus Chrome-Sandbox auszubrechen

„Was diese beiden öffentlich bekannt gemachten Schwachstellen ähnlich macht, ist, dass sie für sich genommen nur von begrenztem Wert sind. In diesem Fall ist eine separate Sicherheitslücke erforderlich, um aus der ,Chrome‘-Sandbox auszubrechen“, erläutert Satnam Narang, „Staff Research Engineer“ in seinem aktuellen Kommentar zum Bekanntwerden einer weiteren Schwachstelle in diesem Kontext.
Auch diese neueste Schwachstelle werde durch die Tatsache abgeschwächt, „dass sie nicht mit einer Schwachstelle gepaart ist, um der Sandbox zu entkommen“. Daher könne ein Angreifer das zugrundeliegende Betriebssystem nicht kompromittieren oder auf vertrauliche Informationen zugreifen, ohne diese Schwachstelle mit einer zweiten Schwachstelle zu kombinieren, um die Sandbox zu umgehen.

Browser wie Chrome und Edge so schnell wie möglich mit Patches versehen!

Sogenannte Zero-Days mögen die meiste Aufmerksamkeit auf sich ziehen – bekannte, aber ungepatchte Schwachstellen ermöglichten jedoch die meisten Sicherheitsverletzungen und würden von fortgeschrittenen Angreifern bevorzugt. Am 15. April 2021 habe die NSA (National Security Agency) gemeinsam mit dem FBI und der CISA (Cybersecurity and Infrastructure Security Agency) ein „Cybersecurity Advisory“ veröffentlicht, in dem eine Reihe von bekannten Schwachstellen aufgezeigt würden, „auf die angeblich russische Auslandsgeheimdienste zurückgreifen“.
Narang führt aus: „Trotz der begrenzten Auswirkungen der öffentlichen Bekanntgabe einer weiteren ,Google Chrome‘-Schwachstelle empfehlen wir Anwendern und Unternehmen weiterhin, ihre Browser wie ,Chrome‘ und ,Edge‘ so schnell wie möglich mit Patches zu versehen.“

Weitere Informationen zum Thema:

Tenable®
Blog

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe / Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

[datensicherheit.de, 07.11.2016] Experten von KASPERSKY lab ist es nach eigenen Angaben gelungen, eine neue Variante des mobilen Banking-Trojaners „Svpeng“ aufzudecken, die sich im Werbenetzwerk „Google AdSense“ versteckt. Demnach konnte sich „Svpeng“ seit Mitte Juli 2016 auf mobilen „Android“-Geräten von rund 318.000 Anwendern ausbreiten. Die Spitzenwerte sollen bei 37.000 Infektionen pro Tag gelegen haben. Dabei nutzten die Angreifer eine Schwachstelle innerhalb von „Google Chrome for Android“ aus – die Malware sammele sowohl Informationen über die Bankkarten ihrer Opfer als auch deren persönliche Daten wie Kontakte oder die Liste besuchter Webseiten.

Erster bekannter Fall Mitte Juli 2016

Der erste bekannte Fall sei Mitte Juli 2016 bei einem russischen Online-Nachrichtenkanal aufgetreten. Anwender, die diese Webseite besuchten, seien Gefahr gelaufen Gefahr, den Trojaner unbemerkt auf ihre „Android“-Geräte zu laden.

Angeblich wichtiges Update manipuliert Nutzer

Bei der Analyse des genauen Angriffsablaufs fanden die KASPERSKY-Experten nach eigenen Angaben heraus, dass die Ursache jeweils in einer infizierten Werbeanzeige zu finden war, die über „Google AdSense“ auf der Website platziert wurde.
Diese Anzeigen hätten das vom Anwender gewohnte Erscheinungsbild. Der Trojaner sei nur dann heruntergeladen worden, wenn die Anwender mit einem „Android“-Gerät und dem Browser „Chrome“ auf die Seite zugegriffen hätten. Um die Nutzer zur Installation der Malware zu bewegen, habe „Svpeng“ vorgegeben, es handle sich um ein wichtiges Update des Browsers oder einer anderen populären Anwendung.
Wurde die Malware tatsächlich installiert, sei sie von der Liste der installierten Apps verschwunden und habe die Anwender aufgefordert, Administratorrechte für das Gerät zu erteilen. Dadurch sei die Schadsoftware nur schwer zu entdecken gewesen.

Patch erforderlich: Angreifer umgingen Sicherheitsmaßnahmen

Bei dieser Vorgehensweise hätten die Angreifer anscheinend einige der in „Google Chrome for Android“ eingebauten Sicherheitsmaßnahmen umgehen können. Normalerweise werde der Anwender vor dem Download von APK-Dateien gewarnt, da es sich möglicherweise um gefährliche Dateien handeln könnte. In diesem Fall sei es den Betrügern aber gelungen, diese Warnung auszuschalten.
Die Mitarbeiter von KASPERSKY lab hätten nach der Entdeckung Google sofort darüber informiert. Ein entsprechender Patch werde mit dem nächsten Update von „Google Chrome for Android“ ausgeliefert.

Zusammenarbeit aller beteiligten Unternehmen gefordert

Der Fall „Svpeng“ bestätige erneut, wie wichtig die Zusammenarbeit aller beteiligten Unternehmen sei, betont Nikita Buchka, „Malware Analyst“ bei KASPERSKY lab.
„Wir alle möchten die Anwender vor Cyber-Attacken bewahren. Dieses Ziel können wir aber nur gemeinsam erreichen. Wir freuen uns, dass wir dabei helfen können, das ,Android‘-Umfeld sicherer zu machen, und möchten uns bei Google für deren schnelle Reaktion auf unseren Report bedanken. Wir bitten Nutzer zudem, Downloads von Apps von unbekannten Quellen zu vermeiden und wachsam bei der Vergabe von Zugriffsrechten zu sein – sie sollten darauf achten, wonach sie gefragt werden und warum“, sagt Buchka.

Anwender müssen handeln!

KASPERSKY lab empfiehlt nun allen Anwendern, die neueste Version von „Chrome for Android“ herunterzuladen sowie die Installation einer effektiven Sicherheitslösung wie z.B. „Kaspersky Internet Security for Android“.
Zudem sollten alle Nutzer die Tools und Methoden kennen, mit denen Angreifer versuchen, Anwender zur Installation von Schadsoftware zu bewegen und umfassende Rechte zu erteilen.

Millionen Webseiten in Gefahr

Der mobile Trojaner „Svpeng“ ziele darauf ab, die Daten von Bankkarten abzugreifen. Er sammele aber auch Informationen über die vom Anwender getätigten Telefonate, Text- und Multimedia-Nachrichten, sowie Browser-Lesezeichen und Kontakte.
„Svpeng“ sei vorwiegend in russisch-sprachigen Ländern verbreitet, habe aber das Potenzial für eine globale Präsenz. Durch die Art seiner Verbreitung stelle er eine Gefahr für Millionen von Webseiten in aller Welt dar, da viele davon „Google AdSense“ nutzten, um Werbeanzeigen zu veröffentlichen.

Weitere Informationen zum Thema:

SECURELIST, 07.11.2016
Hinter den Kulissen der Attacke / Nikita Buchka, Anton Kivva