Die Malware Gipy ist seit Mitte 2023 aktiv. Die Cyberkriminellen setzen Gipy weltweit ein. Zu den fünf am stärksten betroffenen Ländern zählen Russland, Taiwan, die USA, Spanien und Deutschland.
Gipy ködert Nutzer, indem sie sich als KI-Tool tarnt. Die Erstinfektion erfolgt durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird und sich als KI-Tool, das Stimmen verändern kann, ausgibt. Diese Webseiten sind täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert sind, die WordPress verwenden.
Skript mit schädlichen Aktivitäten
Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Experten von Kaspersky haben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten:
- den berüchtigten Passwordstealer Lumma
- die Passwordstealer RedLine und RisePro sowie den Golang-basierten Loli
- den modifizierten Corona-Cryptominer Apocalypse ClipBanker
- mehrere RATs (Remote Access Trojan), darunter DCRat und RADXRat
- die Golang-basierte Backdoor TrueClient
Neueste Kommentare
Noch keine Kommentare zu Malware Gipy stiehlt Passwörter und Daten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.