Neue Bedrohung für Web3-Entwickler: Malware über gefälschte KI-Plattformen

LONDON (IT BOLTWISE) – Eine neue Bedrohung hat die Web3-Entwicklergemeinschaft ins Visier genommen. Die Gruppe EncryptHub, auch bekannt als LARVA-208, hat ihre Taktiken verfeinert und nutzt gefälschte KI-Plattformen, um Malware zu verbreiten.

Die Bedrohungsakteure von EncryptHub, auch bekannt unter den Namen LARVA-208 und Water Gamayun, haben eine neue Kampagne gestartet, die sich gezielt gegen Web3-Entwickler richtet. Diese Entwickler sind besonders anfällig, da sie oft mit Kryptowallets, Smart-Contract-Repositories und sensiblen Testumgebungen arbeiten. Die Angreifer nutzen gefälschte KI-Plattformen, um ihre Opfer mit Informationen stehlender Malware zu infizieren.

Die Taktiken von EncryptHub haben sich weiterentwickelt. Sie verwenden Plattformen wie Norlax AI, die Teampilot imitieren, um Entwickler mit Jobangeboten oder Anfragen zur Portfolioüberprüfung zu locken. Diese Strategie zielt darauf ab, die Opfer dazu zu bringen, auf vermeintliche Meeting-Links zu klicken, die über Plattformen wie X und Telegram verbreitet werden. Besonders perfide ist die Methode, mit der sie Sicherheitswarnungen umgehen, indem sie zunächst Google Meet für ein Gespräch nutzen, bevor sie die Opfer auf die gefälschte Plattform umleiten.

Einmal auf der gefälschten Plattform, werden die Opfer aufgefordert, ihre E-Mail-Adresse und einen Einladungscode einzugeben. Anschließend erhalten sie eine gefälschte Fehlermeldung über veraltete oder fehlende Audiotreiber, die sie dazu verleitet, eine als Realtek HD Audio Driver getarnte Malware herunterzuladen. Diese Malware führt PowerShell-Befehle aus, um den Fickle Stealer zu installieren, der Daten von Kryptowallets und Entwicklungsanmeldedaten stiehlt.

Die gesammelten Informationen werden an einen externen Server mit dem Codenamen SilentPrism übertragen. Diese Operation zeigt, dass EncryptHub seine Monetarisierungsstrategien diversifiziert hat, indem es wertvolle Daten und Anmeldedaten für den potenziellen Weiterverkauf oder die Ausbeutung auf illegalen Märkten exfiltriert.

Parallel dazu hat Trustwave SpiderLabs eine neue Ransomware namens KAWA4096 identifiziert, die ähnlich wie die Akira-Ransomware-Gruppe operiert. Diese Ransomware, die im Juni 2025 erstmals auftauchte, hat bereits elf Unternehmen angegriffen, wobei die meisten Ziele in den USA und Japan liegen. Eine bemerkenswerte Eigenschaft von KAWA4096 ist die Fähigkeit, Dateien auf gemeinsam genutzten Netzlaufwerken zu verschlüsseln und die Verwendung von Multithreading, um die Effizienz zu steigern.

Ein weiterer neuer Akteur in der Ransomware-Landschaft ist Crux, der behauptet, Teil der BlackByte-Gruppe zu sein. In einem der Vorfälle nutzten die Angreifer gültige Anmeldedaten über RDP, um sich Zugang zum Zielnetzwerk zu verschaffen. Gemeinsam ist allen Angriffen die Nutzung legitimer Windows-Tools wie svchost.exe und bcdedit.exe, um bösartige Befehle zu verbergen und die Systemwiederherstellung zu verhindern.

Die Bedrohung durch solche Angriffe unterstreicht die Notwendigkeit, kontinuierlich verdächtiges Verhalten zu überwachen und geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität von Netzwerken zu schützen. Unternehmen sollten ihre Sicherheitsstrategien überprüfen und anpassen, um sich gegen diese sich entwickelnden Bedrohungen zu wappnen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!