Gamer im Fadenkreuz


Um mit ihren potenziellen Opfern in Kontakt zu treten, setzen die Angreifer, neben herkömmlichen E-Mails und Textnachrichten, auf Direktnachrichten der Gaming-Chat-App Discord
Eines der Hauptinteressen der Kriminellen scheint die Kompromittierung weiterer Discord-Nutzerkonten zu sein


Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Kürzlich haben Forscher von Malwarebytes in einem Blogbeitrag eine neue Phishing-Kampagne vorgestellt, die auf Gamer abzielt. Die Opfer werden dabei mit dem Angebot, Betatester eines neuen Videospiels werden zu können, geködert. Laden sie sich eine Archivdatei, die das vermeintliche Spiel enthält, auf ihr System herunter, befinden sich Infostealer unter den Daten. Deren Ziel: das Abgreifen von Finanzdaten – sowie der Kontaktdaten etwaiger Gaming-Freunde.

Um mit ihren potenziellen Opfern in Kontakt zu treten, setzen die Angreifer, neben herkömmlichen E-Mails und Textnachrichten, auf Direktnachrichten der Gaming-Chat-App Discord. Die Angeschriebenen werden gefragt, ob sie Interesse daran hätten, Betatester für ein neues Videospiel werden. Um die Anfrage möglichst realistisch erscheinen zu lassen, geben sich die Angreifer dabei oft als Spiele-Entwickler aus.

Signalisiert ein Opfer Interesse, werden ihm ein Passwort und ein Download-Link zu einem Archiv geschickt, auf dem sich das Installationsprogramm des Spiels befinden soll. Der Download erfolgt dabei in aller Regel über typische Filehosting-Dienste, wie Dropbox und Catbox, oder auch das Discord Content Delivery Network (CDN). Häufig kommen hierbei kompromittierte Nutzerkonten zum Einsatz, um die vermeintliche Glaubwürdigkeit des Angebots zu unterstreichen.

Lädt sich ein Opfer dann das Archiv herunter, befindet sich unter den Dateien auch Malware. Um sie zu tarnen, bringen die Angreifer NSIS-Installer und MSI-Installer zum Einsatz. Drei unterschiedliche Infostealer haben die Experten von Malwarebytes ausgemacht: Nova Stealer, Ageo Stealer und Hexon Stealer.

Bei Nova Stealer und Ageo Stealer handelt es sich um Malware-as-a-Service-Stealer. Sie sind spezialisiert auf den Diebstahl von Anmeldeinformationen, die in Browsern abgespeichert werden, von Sitzungs-Cookies – von Plattformen wie Discord und Steam – sowie von Informationen, die in Zusammenhang mit Kryptowährungs-Wallets stehen. Ein Teil der Nova Stealer-Infrastruktur ist ein Discord-Webhook, der es Cyberkriminellen ermöglicht, über den Server Daten an den Client senden zu lassen, sobald ein bestimmtes Ereignis eintritt. So müssen die Angreifer nicht regelmäßig nach den erhofften Informationen suchen, sondern werden automatisch benachrichtigt, sobald diese eintreffen.

Der Hexon-Stealer ist relativ neu. Er basiert auf dem Code von Stealit Stealer und ist in der Lage, Discord-Token, 2FA-Backup-Codes, Browser-Cookies, Autofill-Daten, gespeicherte Passwörter, Kreditkartendaten und sogar Informationen zu Kryptowährungs-Wallets zu exfiltrieren.

Eines der Hauptinteressen der Kriminellen scheint die Kompromittierung weiterer Discord-Nutzerkonten zu sein. Um erfolgreich in großem Stil Phishing, Spear Phishing und Social Engineering betreiben zu können, sind sie auf eine möglichst große Zahl kompromittierter Nutzerkonten angewiesen, über die sie mit ihren potenziellen Opfern interagieren können. Discord-Konten von Gamern sind da sehr interessant, da viele Opfer mit ihren Freunden über die Chat-App verbunden sind. Mit den kompromittierten Konten können die Angreifer ihren Opfern vorgaukeln, Gamer-Freunde zu sein – und sie dann, zum Beispiel, zu Details ihres Arbeitsplatzes ausfragen.

Die Angriffskampagne zeigt: immer tiefer dringen Phishing-, Spear Phishing- und Social Engineering in unseren Alltag vor. Angreifer nutzen mittlerweile jeden sich bietenden Ansatzpunkt, um an Daten zu gelangen, die ihnen für weitere Angriffe dienlich sein können. ‚Compromise now, benefit later‘ lautet die Devise. Unternehmen müssen hier stärker gegensteuern. Sie müssen ihr Human Risk Management (HRM) ausbauen und erweitern. Regelmäßige Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins haben dabei ebenso im Fokus zu stehen, wie der Ausbau der Sicherheit der E-Mail-Kommunikation – zum Beispiel durch die Implementierung KI-gestützter E-Mail-Sicherheitslösungen. Anders wird der sich stetig verschlechternden Bedrohungslage in Punkto Mitarbeiter-Kompromittierung kaum beizukommen sein. (KnowBe4: ra)

eingetragen: 22.01.25
Newsletterlauf: 11.04.25


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Angepasste Malware-Payloads Kontoinformationen für die AWS-Plattform

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen