Web3-Entwickler im Visier: Neue Malware-Kampagne von EncryptHub

LONDON (IT BOLTWISE) – Eine neue Bedrohung für Web3-Entwickler hat die Sicherheitsgemeinschaft alarmiert. Die Gruppe EncryptHub, auch bekannt als LARVA-208, hat eine raffinierte Kampagne gestartet, um Entwickler mit Malware zu infizieren.

Die Bedrohungsakteure von EncryptHub haben ihre Taktiken weiterentwickelt und nutzen nun gefälschte KI-Plattformen, um Web3-Entwickler ins Visier zu nehmen. Diese Entwickler sind oft für die Verwaltung von Kryptowährungs-Wallets und den Zugang zu Smart-Contract-Repositories verantwortlich, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Die Angreifer locken ihre Opfer mit vermeintlichen Jobangeboten oder Anfragen zur Portfolioüberprüfung auf Plattformen wie Norlax AI, die Teampilot nachahmen.

Die Angriffe beginnen häufig mit der Kontaktaufnahme über soziale Medien wie X und Telegram, wo die Angreifer vorgeben, an einem Vorstellungsgespräch oder einer Portfoliodiskussion interessiert zu sein. Besonders perfide ist die Methode, mit der die Angreifer Sicherheitswarnungen umgehen, die auf der Web3-Jobbörse Remote3 ausgegeben werden. Obwohl die Plattform ausdrücklich davor warnt, unbekannte Videokonferenzsoftware herunterzuladen, führen die Angreifer ein erstes Gespräch über Google Meet, bevor sie die Opfer auf die gefälschte Plattform Norlax AI umleiten.

Einmal auf der gefälschten Plattform, werden die Opfer aufgefordert, ihre E-Mail-Adresse und einen Einladungscode einzugeben. Anschließend erhalten sie eine gefälschte Fehlermeldung über veraltete oder fehlende Audiotreiber. Das Klicken auf diese Nachricht führt zum Herunterladen einer schädlichen Software, die als echter Realtek HD Audio Driver getarnt ist. Diese Software führt PowerShell-Befehle aus, um den Fickle Stealer zu installieren, der sensible Daten an einen externen Server namens SilentPrism überträgt.

Die von den Angreifern verteilte Malware zielt darauf ab, Kryptowährungs-Wallets, Entwicklungscodes und sensible Projektdaten zu stehlen. Diese Strategie zeigt eine Verschiebung hin zu alternativen Monetarisierungsstrategien, einschließlich des Verkaufs oder der Ausnutzung wertvoller Daten auf illegalen Märkten. Die Bedrohung durch EncryptHub ist ein weiteres Beispiel für die zunehmende Raffinesse von Cyberangriffen im Bereich der dezentralen Technologien.

Parallel dazu hat Trustwave SpiderLabs eine neue Ransomware-Variante namens KAWA4096 identifiziert, die im Stil der Akira-Ransomware-Gruppe agiert. Diese Ransomware hat bereits mehrere Unternehmen in den USA und Japan ins Visier genommen. Eine bemerkenswerte Eigenschaft von KAWA4096 ist die Fähigkeit, Dateien auf freigegebenen Netzlaufwerken zu verschlüsseln und Multithreading zu nutzen, um die Effizienz zu steigern.

Ein weiterer neuer Akteur auf dem Ransomware-Markt ist Crux, der behauptet, Teil der BlackByte-Gruppe zu sein. Diese Gruppe nutzt legitime Windows-Tools wie svchost.exe und bcdedit.exe, um bösartige Befehle zu verbergen und die Systemwiederherstellung zu verhindern. Sicherheitsforscher empfehlen, verdächtiges Verhalten dieser Prozesse kontinuierlich zu überwachen, um Bedrohungen frühzeitig zu erkennen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!