Lazarus Hacker schlagen wieder zu – Stehlen Kryptos über Telegram

Hacker
fotokitas - stock.adobe.com

Die Lazarus-Hackergruppe macht wieder das Internet unsicher. Diesmal mit neuen und verbesserten Taktiken, um sich noch mehr Kryptowährungen zu erschleichen.

Die Sicherheitsfirma Kaspersky berichtete kürzlich, dass die nordkoreanischen Hacker ihre Bemühungen verdoppelt haben, so viele digitale Währungen wie möglich zu stehlen. Dem Bericht zufolge haben die Sicherheitsforscher Hinweise gefunden, die darauf hindeuten, dass Lazarus seine Art und Weise, wie sie ein System infizieren, geändert hat. Die Hacker wenden nun „verbesserte Taktiken“ an und unternehmen „vorsichtigere Schritte“, um effizienter Kryptowährungen zu stehlen.

Die Gruppe hat schon früher Kryptowährungen ins Visier genommen, aber dieses Mal ist die Methodik anders. Um unentdeckt zu bleiben, verwendet Lazarus eine Malware, die im Speicher ausgeführt wird, anstatt von der Festplatte aus. Die Forscher warnen, dass Lazarus nun die beliebte Messaging-App Telegram als einen seiner Hauptangriffspunkte benutzt – wahrscheinlich aufgrund der großen Krypto-Community, die sich dort vorfindet.

So läuft ein Angriff ab

Sicherheitsforscher bezeichnen die neue Initiative als „Operation AppleJeus Sequel“. Eine Weiterentwicklung der AppleJeus-Kampagne, die bereits 2018 aufgedeckt wurde und das ganze Jahr 2019 hindurch lief. Eines bleibt jedoch gleich: Die Kampagnen benutzen nach wie vor gefälschte Krypto-Trading-Firmen, um Opfer anzulocken. Die Scheinfirmen haben sogar Websites mit Links zu ebenso gefälschten Telegram-Trading-Gruppen.

Darüber hinaus wurde in einem Fall ein Windows-System durch bösartige Nutzdaten infiziert, die über den Telegram Messenger auf das Gerät übertragen wurde. Nachdem das System einmal infiziert ist, können Angreifer aus der Ferne auf das Gerät zugreifen und sich die darin befindlichen Kryptowährungen schnappen. Kaspersky konnte während der Forschung eine Reihe dieser gefälschten Krypto-Trading-Webseiten herausfinden. Bislang konnte die Forscher auch einige Opfer identifizieren, die in Großbritannien, Polen, Russland und China ansässig sind. Mehrere Betroffene sind nachweislich Krypto-Unternehmen. Der Wert der Coins, die Lazarus in dieser Kampagne gestohlen hat, ist derzeit unbekannt.

Einem UN-Bericht zufolge, der im August letzten Jahres veröffentlicht wurde, wird angenommen, dass nordkoreanische Hacker 2 Milliarden Dollar gestohlen haben, indem sie ausländische Finanzinstitute und Krypto-Börsen gehackt haben. Mit den aktualisierten Taktiken für seine Kampagne sieht es nicht so aus, als würde Lazarus nachlassen.

Update 10. Jänner 2020

Telegram-Nutzer müssen nicht in Panik geraten, denn der Messaging-Dienst an sich wurde nicht kompromittiert. „Die Malware wird als Teil einer Datei verteilt, die auf Zielsysteme heruntergeladen wird – dies ist nicht anders als wenn man von einer Website herunterlädt oder in einer E-Mail erhält. Benutzer können dies durch eine angemessene digitale Hygiene verhindern“, beruhigte ein Sprecher von Telegram. Falls man also etwas downloaden möchte, sollte man dies nur aus vertrauten Quellen tun und zusätzlich ein seriöses Antivirenprogramm verwenden.