Redline-Infostealer auf dem Vormarsch

Lesezeit
1 Minute
Bis jetzt gelesen

Redline-Infostealer auf dem Vormarsch

13.05.2024 - 13:08
Veröffentlicht in:

Infostealer-Infektionen haben zwischen 2020 und 2023 um mehr als das Sechsfache zugenommen; im vergangenen Jahr waren rund zehn Millionen Geräte betroffen. Dabei war die Malware Redline für die Hälfte der entdeckten Infektionen verantwortlich. Zugleich nimmt ihre Vielfalt zu: Im vergangenen Jahr waren neue Malware-Familien für mehr als ein Fünftel aller Infostealer-Infektionen verantwortlich.

Infostealer infizieren Geräte, um sensible Anmeldeinformationen zu stehlen und im Darknet zu verbreiten. Die beliebteste Domain für Infostealer-Aktivitäten im vergangenen Jahr war laut einer Kaspersky-Analyse ".com" mit fast 326 Millionen Accountdaten, gefolgt von Brasilien mit 28 Millionen und Indien mit acht Millionen. Die deutsche Domain belegte mit rund 2,7 Millionen Account-Kompromittierungen den 19. Platz. Weltweit wurden in den vergangenen fünf Jahren Zugangsdaten von 443.000 Webseiten kompromittiert.
 
Darknet-Markt für datenstehlende Malware wächst
 
Im vergangenen Jahr zeichnete die Malware Redline sich für über die Hälfte der Infostealer-Angriffe (55 Prozent) verantwortlich; zwischen 2020 und 2023 waren es 51 Prozent. Gleichzeitig stieg währenddessen der Anteil an Infektionen durch neue Infostealer von vier auf 28 Prozent. Zu den verbreitetsten der insgesamt rund 100 verschiedenen entdeckten Infostealer-Arten im Untersuchungszeitraum zählten Vidar (17 Prozent) und Raccoon (fast 12 Prozent). Bei über sechs Prozent aller datenstehlenden Infektionen im vergangenen Jahr handelte es sich um die neue Lumma-Malware.

"Lumma entstand 2022 und wurde 2023 durch die Verbreitung als Malware-as-a-Service (MaaS) populär. Das bedeutet jeder Kriminelle kann auch ohne große technische Fähigkeiten ein Abo für eine vorgefertigte schädliche Lösung kaufen und diesen Stealer für Cyberangriffe benutzen. Lumma wurde hauptsächlich entwickelt, um Zugangsdaten und andere Informationen aus Krypto-Wallets zu stehlen und verbreitet sich meist über E-Mail, Youtube und Spam-Kampagnen auf Discord", erklärt Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.
 
16 Millionen Konto-Leaks im Jahr 2023
 
Obwohl 2023 im Vergleich zum Vorjahr insgesamt neun Prozent weniger Protokolldateien entdeckt wurden, lässt dies nicht auf eine gesunkene Nachfrage nach Passwörtern und Benutzernamen schließen. Cyberkriminelle könnten Zugänge, die im vergangenen Jahr gestohlen wurden, erst dieses Jahr im Darknet handeln, weshalb die Gesamtanzahl kompromittierter Accountinformationen im Jahr 2023 nach Schätzungen der Kaspersky-Experten ungefähr 16 Millionen betragen dürfte.

"Der Wert von Protokolldateien mit Zugangsdaten im Darknet hängt davon ab, wie attraktiv die Daten sind und wie sie dort verkauft werden. Anmeldeinformationen können über einen Abo-Service mit regelmäßigen Uploads, einen sogenannten 'Aggregator' für spezifische Anfragen oder über einen 'Shop', der kürzlich erworbene Login-Daten exklusiv an ausgewählte Interessenten verkauft, veräußert werden. Die Preise in diesen Shops starten typischerweise bei 10 US-Dollar pro Protokolldatei. Account-Leaks sind eine große Bedrohung, weil Cyberkriminelle hierdurch Angriffsarten wie unbefugten Zugang zum Diebstahl, Social Engineering oder Identitätsdiebstahl ausführen können", kommentiert Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.

Ähnliche Beiträge

Infostealer tarnt sich als Google Authenticator Daniel Richey Fr., 19.07.2024 - 08:32
Eine als Google Authenticator getarnte, digital signierte Malware namens DeerStealer wird derzeit über GitHub verteilt. Die Infektionskette beginnt mit einer gefälschten Google-Website, die auf das GitHub-Repository leitet, von der die Schadsoftware geladen und ausgeführt wird. Für die Abwehr stehen unter anderem YARA-Regeln bereit.

Gefahr im Foxit PDF-Reader

Angreifer haben es auf Nutzer des Foxit Readers abgesehen und nutzen gezielt Schwachstellen in der Gestaltung der Warnmeldungen aus. Dieser Exploit veranlasse Nutzer, schädliche Befehle auszuführen. Hierfür rufe er Sicherheitswarnungen hervor, die standardmäßig gefährliche Optionen anbieten. Durch zweimaliges Bestätigen dieser Optionen würde eine schädliche Nutzlast von einem Remote-Server heruntergeladen und ausgeführt.