APT36 nutzt gefälschte India Post-Website für Malware-Angriffe

MÜNCHEN (IT BOLTWISE) – Eine neue Cyberbedrohung zielt auf Nutzer in Indien ab, indem sie eine gefälschte Website der India Post verwendet, um Malware zu verbreiten.

Eine mit Pakistan in Verbindung stehende Hackergruppe, bekannt als APT36 oder Transparent Tribe, hat eine gefälschte Website erstellt, die das öffentliche Postsystem Indiens imitiert. Diese Kampagne zielt darauf ab, sowohl Windows- als auch Android-Nutzer in Indien mit Malware zu infizieren. Die Cybersicherheitsfirma CYFIRMA hat diese Aktivitäten mit mittlerer Zuversicht APT36 zugeschrieben. Die betrügerische Website, die India Post nachahmt, trägt den Namen “postindia[.]site”.

Besucher der Website, die Windows-Systeme verwenden, werden aufgefordert, ein PDF-Dokument herunterzuladen. Android-Nutzer hingegen erhalten eine bösartige Anwendungsdatei namens “indiapost.apk”. Laut CYFIRMA enthält das PDF-Dokument Taktiken namens ‘ClickFix’, die den Benutzer anweisen, eine PowerShell-Befehlszeile auszuführen, was das System gefährden könnte. Die EXIF-Daten des PDFs zeigen, dass es am 23. Oktober 2024 von einem Autor namens “PMYLS” erstellt wurde, was wahrscheinlich auf das pakistanische Prime Minister Youth Laptop Scheme verweist.

Die Domain, die India Post imitiert, wurde etwa einen Monat später, am 20. November 2024, registriert. Der PowerShell-Code ist darauf ausgelegt, eine weitere Nutzlast von einem derzeit inaktiven Remote-Server herunterzuladen. Auf Android-Geräten fordert die Website die Nutzer auf, eine App für ein “besseres Erlebnis” zu installieren. Diese App verlangt umfangreiche Berechtigungen, um sensible Daten zu sammeln und zu exfiltrieren, darunter Kontaktlisten, aktuelle Standorte und Dateien vom externen Speicher.

Die Android-App ändert ihr Icon, um wie ein unscheinbares Google-Konto-Icon auszusehen, was es den Nutzern erschwert, die App zu finden und zu deinstallieren. Die App ist zudem so programmiert, dass sie im Hintergrund weiterläuft, selbst nach einem Neustart des Geräts, und explizit Berechtigungen anfordert, um die Batterieoptimierung zu ignorieren.

ClickFix wird zunehmend von Cyberkriminellen, Betrügern und APT-Gruppen ausgenutzt, wie andere Forscher berichten, die seine Verwendung in freier Wildbahn beobachten. Diese aufkommende Taktik stellt eine erhebliche Bedrohung dar, da sie sowohl ahnungslose als auch technisch versierte Nutzer ins Visier nehmen kann, die mit solchen Methoden nicht vertraut sind.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

64,59 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!