Die Sicherheitsforscher von Snyk überwachen Open-Source-Ökosysteme kontinuierlich auf bösartige Pakete und nutzen statische Analysetechniken, um verdächtige Pakete zu identifizieren und zu kennzeichnen. Jedes bösartige Paket wird bei der Veröffentlichung im Paketmanager identifiziert und schnell zur Snyk-Schwachstellendatenbank hinzugefügt.
Bei seinen jüngsten Untersuchungen fand das Team 12 einzelne Malware-Pakete, die demselben Akteur gehören. Diese bösartigen Pakete versuchten, der Entdeckung zu entgehen, indem sie Windows-Rechner infiltrierten und bösartige ausführbare Dateien ausführten, die vom Discord Content Delivery Network (CDN) – einer sehr beliebten Online-Chat-Anwendung – auf den Host heruntergeladen wurden.
Diese Pakete nutzten PyInstaller, um eine bösartige Anwendung und ihre Abhängigkeiten in einem Paket zu bündeln. PyInstaller verfolgt hier einen doppelten Zweck: Er soll die Erkennung verhindern, indem er die Abhängigkeiten bündelt, anstatt sie von einem Remote-Server auf den Host herunterzuladen, und eine ausführbare Datei bereitstellen, die ohne Interpreter ausgeführt werden kann.
Diese Malware zielt auf Daten ab, die für alltägliche Benutzeranwendungen gespeichert sind. Bei der Ausführung versucht sie, Google Chrome-Daten (Passwörter, Cookies, Webprotokoll, Suchverlauf und Lesezeichen) zu stehlen. Diese Daten sind ein häufiges Ziel für böswillige Akteure, da sie diese Daten dann verwenden können, um sich mit den angegebenen Anmeldeinformationen durch Ihre Konten zu bewegen.
Auch die beliebte Online-Chat-Anwendung Discord ist ein Ziel. Die Malware exfiltriert Discord-Tokens und injiziert dabei einen persistenten Schadcode. Dieser Schadcode, der als Discord Injector bekannt ist, kann eine alarmierende Menge an Informationen an den Angreifer weitergeben. Er gibt nicht nur Ihre Anmeldedaten weiter, sondern kann auch Ihre Kreditkarteninformationen abgreifen, wenn Sie diese nach dem Laden des Injectors eingeben.
Ein weiterer interessanter Aspekt dieser Malware ist, dass sie tatsächlich Discord-Ressourcen zur Verteilung ausführbarer Dateien nutzt. Diese Praxis ist zwar nicht neu, aber der Hinweis auf cdn.discord.com hat die Sicherheitsforscher auf den Plan gerufen. Die Binärdateien werden über das Discord CDN auf den Host heruntergeladen.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.