Datenstehlende Malware tarnt sich als KI-Tool

Kaspersky warnt vor einer neuen Malware-Kampagne, die sich derzeit gegen Nutzer in Russland, Taiwan, den USA, Spanien und Deutschland richtet. Die Hintermänner setzen dabei auf die zunehmende Beliebtheit von KI-Tools: Sie tarnen die Malware Gipy als KI-Stimmengenerator, den sie über Phishing-Websites verbreiten.

Gipy ist seit Mitte 2023 aktiv. Die Erstinfektion erfolgt Kaspersky zufolge durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird. Diese Webseiten seien täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert seien, die WordPress verwendeten.

Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Kaspersky-Forscher haben nach eigenen Angaben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten.

Darunter waren mehrere Passwordstealer wie Lumma, RedLine, RisePro und der auf Golang basierende Loli. Außerdem fanden die Forscher den Cryptominer Apocalypse ClipBanker, mehrere Fernzugriffs-Trojaner wie DCRat und RADXRat und die ebenfalls auf Golang basierende Backdoor TrueClient.

„Auch wenn KI-Tools erstaunliche Vorteile bieten und den Alltag revolutionieren, müssen Nutzer wachsam bleiben“, sagte Oleg Kupreev, Sicherheitsexperte bei Kaspersky. „Cyberkriminelle nutzen die Beliebtheit von KI aus, um Malware zu verbreiten und Phishing-Angriffe durchzuführen. Sie nutzen sie seit über einem Jahr als Köder und wir erwarten nicht, dass dieser Trend zurückgeht.“