Cyberkriminelle går efter kryptoinvestorer med ny malware – Her er den vigtigste info
Hackere og cyberkriminelle har længe gået målrettet efter kryptoinvestorer med to nye typer malware, som bruges til at søge efter uopmærksomme investorer, så de kan stjæle deres penge.
Ifølge en ny rapport fra anti-malware-softwareudvikleren Malwarebytes er der særligt tale om to nye cybersikkerhedstrusler herunder den nyligt opdagede MortalKombat ransomware og en variant af Laplas Clipper malware. Begge dele er belevet brugt i systematiske kampagner til at stjæle kryptovaluta fra sagesløse ofre.
De nye ofre for phishing befinder sig primært i USA, men der er også en række ofre i Storbritannien, Tyrkiet og Filippinerne.
Virksomhedens efterretnings-team, Cisco Talos, sagde, at de havde observeret den kriminelle scanne internettet for potentielle mål med en blotlagt RDP-port (Remote Desktop Protocol) 3389, hvilket skaber en grafisk grænseflade, som man kan bruge til at oprette forbindelse til en anden computer via en netværksforbindelse.
Undersøgelsen viste, at fupnummeret ofte begynder med en phishing-e-mail, hvorefter en “række trin i en bestemt rækkefølge udføres, hvor der bruges enten malware eller ransomware, hvorefter beviserne slettes, så alle spor dækkes, og det er svært at foretage en efterfølgende analyse”.
Phishing-e-mailen indeholder med en ondsindet ZIP-fil, der indeholder et såkaldt BAT-loader-script, som downloader en anden ondsindet ZIP-fil – når et uvidende offer åbner den.
“Det downloadede script starter det downloadede program på ofrets computer, hvorefter det nye program sletter det gamle – og indsætter en række inficerede filer på enheden – hvilket gør det svært at spore infektionen” – fremgår det af rapporten.
Talos nævnte også, at en normal fremgangsmåde for de kriminelle har været en phishing-e-mail, hvor de efterligner CoinPayments, som er en ægte betalingsgateway for kryptovaluta.
For at få deres e-mails til at se endnu mere legitime ud, har de en forfalsket afsender, “noreply[at]CoinPayments[.]net”, og e-mailens emne er “[CoinPayments[.]net] Payment Timeout.”
Men her er der altså tale om en ondsindet ZIP-fil, der er vedhæftet med et filnavn, der ligner det transaktions-id, der er nævnt i e-mailens brødtekst, hvilket lokker ofret til at udpakke den ondsindede fil for at se indholdet, som i virkeligheden er en ondsindet BAT-indlæser.
Ransomware trusler stiger, hackernes indtægter falder
Ransomware og cybersikkerhedsangreb stiger fortsat. Ofrene har dog i stigende grad været uvillige til at imødekomme angribernes krav – ifølge en ny rapport fra Chainalysis, som afslørede, at ransomware-indtægter fra angribere faldt med 40% sidste år.
Det er værd at bemærke, at nordkoreanske hackergrupper står for en stor del af ulovlige cyberaktiviteter. For nylig advarede sydkoreanske og amerikanske efterretningstjenester om, at Pyongyang-baserede hackere forsøger at ramme “store internationale virksomeheder” med ransomware-angreb.
I december 2022 afslørede Kaspersky også, at BlueNoroff, som er en undergruppe af den statssponsorerede hackergruppe Lazarus fra Nordkorea, efterligner venturekapitalister, der ønsker at investere i krypto-startups i en ny phishing-metode.
