Gefälschte KI-Plattformen als Bedrohung für Web3-Entwickler

LONDON (IT BOLTWISE) – In der sich ständig weiterentwickelnden Welt der Cyberkriminalität hat die Gruppe EncryptHub, auch bekannt als LARVA-208, eine neue Bedrohung für Web3-Entwickler geschaffen. Diese Hacker nutzen gefälschte KI-Plattformen, um Malware zu verbreiten, die auf die wertvollen Daten von Kryptowährungs-Wallets abzielt.

Die Bedrohung durch Cyberangriffe nimmt in der digitalen Welt stetig zu, und eine der neuesten Entwicklungen betrifft die Web3-Entwickler. Die Gruppe EncryptHub, auch bekannt unter den Namen LARVA-208 und Water Gamayun, hat eine neue Kampagne gestartet, die darauf abzielt, Web3-Entwickler mit Malware zu infizieren. Diese Malware, bekannt als Fickle Stealer, ist darauf spezialisiert, sensible Informationen aus Kryptowährungs-Wallets zu stehlen.

EncryptHub hat seine Taktiken weiterentwickelt und nutzt nun gefälschte KI-Plattformen, um Opfer mit vermeintlichen Jobangeboten oder Anfragen zur Portfolioüberprüfung zu ködern. Diese Plattformen, wie beispielsweise Norlax AI, ahmen bekannte Dienste nach und locken die Opfer dazu, auf vermeintliche Meeting-Links zu klicken. Diese Links werden häufig über Plattformen wie X und Telegram an Entwickler gesendet, die sich mit Web3 und Blockchain-Inhalten beschäftigen.

Ein bemerkenswerter Aspekt dieser Angriffe ist die Umgehung von Sicherheitswarnungen, die von Jobbörsen wie Remote3 ausgegeben werden. Obwohl diese Plattformen ausdrücklich davor warnen, unbekannte Software herunterzuladen, führen die Angreifer ein erstes Gespräch über Google Meet, bevor sie die Opfer dazu bringen, das Interview auf der gefälschten Plattform Norlax AI fortzusetzen. Sobald das Opfer auf den Meeting-Link klickt, wird es aufgefordert, seine E-Mail-Adresse und einen Einladungscode einzugeben, woraufhin eine gefälschte Fehlermeldung über veraltete oder fehlende Audiotreiber angezeigt wird.

Diese Fehlermeldung führt zum Download einer schädlichen Software, die als echter Realtek HD Audio Driver getarnt ist. Diese Software führt PowerShell-Befehle aus, um den Fickle Stealer zu installieren. Die gesammelten Informationen werden dann an einen externen Server mit dem Codenamen SilentPrism übermittelt. Diese Strategie zeigt eine Verschiebung hin zu alternativen Monetarisierungsstrategien, einschließlich der Exfiltration wertvoller Daten und Anmeldeinformationen für den potenziellen Weiterverkauf oder die Ausnutzung auf illegalen Märkten.

Gleichzeitig hat Trustwave SpiderLabs eine neue Ransomware namens KAWA4096 identifiziert, die im Stil der Akira-Ransomware-Gruppe agiert. Diese Ransomware, die erstmals im Juni 2025 auftauchte, hat bereits 11 Unternehmen ins Visier genommen, wobei die meisten Ziele in den USA und Japan liegen. Ein bemerkenswertes Merkmal von KAWA4096 ist die Fähigkeit, Dateien auf freigegebenen Netzlaufwerken zu verschlüsseln und Multithreading zu verwenden, um die Effizienz zu steigern und den Verschlüsselungsprozess zu beschleunigen.

Ein weiterer neuer Akteur in der Ransomware-Landschaft ist Crux, der behauptet, Teil der BlackByte-Gruppe zu sein. Diese Ransomware wurde in drei Vorfällen entdeckt, bei denen die Angreifer gültige Anmeldeinformationen über RDP nutzten, um sich Zugang zu verschaffen. Gemeinsam ist allen Angriffen die Verwendung legitimer Windows-Tools wie svchost.exe und bcdedit.exe, um bösartige Befehle zu verbergen und die Systemwiederherstellung zu verhindern.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!