Für jede dieser Cybersicherheitsbedrohungen werden Tipps zur Risikominderung bereitgestellt.

Cybersicherheitsunternehmen ESET hat seinen Bedrohungsbericht für das zweite Halbjahr 2023 veröffentlichtund wir heben darin drei besonders interessante Themen hervor: den Missbrauch des chatgpt-Namens durch Cyberkriminelle, den Aufstieg der Lumma Stealer-Malware und der Android SpinOk SDK-Spyware.

Springen zu:

Der Name ChatGPT wird von Cyberkriminellen missbraucht

Im zweiten Halbjahr 2023 hat ESET 650.000 Versuche blockiert, auf bösartige Domains zuzugreifen, deren Namen „chatgpt“ oder eine ähnliche Zeichenfolge enthalten, die offensichtlich auf den ChatGPT-Chatbot verweist.

Einer der Betrugsfälle liegt in der OpenAI-API für ChatGPT. Die API benötigt einen privaten API-Schlüssel, der sorgfältig geschützt werden muss und niemals von Benutzern preisgegeben werden darf. Einige Apps fordern Benutzer jedoch auf, ihre API-Schlüssel anzugeben, damit die Anwendungen ChatGPT verwenden können. ESET-Forscher schreiben: „Wenn die App Ihren Schlüssel an den Server des Entwicklers sendet, gibt es möglicherweise kaum oder gar keine Garantie dafür, dass Ihr Schlüssel nicht verloren geht oder missbraucht wird, selbst wenn auch der Aufruf an die OpenAI-API erfolgt.“

Auf 7.000 Servern ist eine Webanwendung „ChatGPT Next Web“ nach dem Vorbild von ESET installiert. Es ist nicht bekannt, ob diese App im Rahmen einer ChatGPT-API-Schlüssel-Phishing-Kampagne erstellt oder aus einem anderen Grund im Internet veröffentlicht wurde.

Die Nutzung des API-Schlüssels wird von OpenAI abgerechnet. Sobald ein Angreifer also im Besitz des privaten API-Schlüssels einer anderen Person ist und je nach Abonnement des Benutzers oder Unternehmens, kann er diesen für seine eigenen Zwecke nutzen, ohne dafür zu bezahlen; Der Angreifer könnte es auch an andere Cyberkriminelle weiterverkaufen.

Darüber hinaus gab es in der zweiten Hälfte des Jahres 2023 viele von ChatGPT inspirierte Domainnamen, die alle zu bösartigen google Chrome-Browsererweiterungen führten, die als „JS/Chromex.Agent.BZ“ erkannt wurden. Ein Beispiel ist gptforchrome(.)com, das zu einer solchen bösartigen Erweiterung führt (Abbildung A).

Abbildung A

Empfehlungen im Zusammenhang mit diesen ChatGPT-Sicherheitsbedrohungen

Benutzer sollten darin geschult werden, solche Bedrohungen zu erkennen und das Surfen auf verdächtigen Websites im Zusammenhang mit ChatGPT zu vermeiden. Sie müssen ihren privaten ChatGPT-API-Schlüssel sichern und dürfen ihn niemals weitergeben.

Lumma Stealer Malware-as-a-Service ist auf dem Vormarsch

Im zweiten Halbjahr 2023 ging laut ESET die Anzahl bösartiger Kryptominer in der Schadsoftware-Bedrohungslandschaft für Kryptowährungen um 21 % zurück; Allerdings sei die Zahl der Kryptodiebe im gleichen Zeitraum um mehr als 68 % gestiegen, schrieben die Forscher.

Diese starke Verstärkung wurde durch eine einzige spezifische Bedrohung verursacht: Lumma Stealer, das auch als LummaC2 Stealer bekannt ist. Diese Malware-as-a-Service-Bedrohung zielt auf Folgendes ab: mehrere Kryptowährungs-Wallets sowie Benutzeranmeldeinformationen und Browsererweiterungen für die Zwei-Faktor-Authentifizierung. Es verfügt außerdem über Exfiltrationsfunktionen, was es zu einem Werkzeug macht, das sowohl für Finanzbetrug als auch für Cyberspionagezwecke eingesetzt werden kann.

Laut ESET hat sich der Einsatz von Lumma Stealer zwischen H1 und H2 2023 verdreifacht. Für die Malware werden mehrere Stufen mit Preisen zwischen 250 und 20.000 US-Dollar angeboten. Die höchste Option ermöglicht dem Käufer Zugriff auf den vollständigen C-Quellcode der Malware. Der Käufer darf die Schadsoftware auch unabhängig von ihrem Entwickler weiterverkaufen.

Die Lumma Stealer-Malware hat eine gemeinsame Codebasis mit den berüchtigten Informationsdiebstahlprogrammen Mars, Arkei und Vidar und wurde höchstwahrscheinlich vom selben Autor entwickelt. laut Cybersicherheitsunternehmen Sekoia.

Für die Verbreitung von Lumma Stealer werden verschiedene Verbreitungsvektoren verwendet; ESET hat diese Methoden in freier Wildbahn beobachtet: gecrackte Installationen von Software, Youtubegefälschte Browser-Update-Kampagnen, Content-Delivery-Netzwerk von Discord und Installation über den Malware-Loader Win/TrojanDownloader.Rugmi eines Drittanbieters.

Tipps zum Schutz vor solchen Malware-Bedrohungen

Es wird dringend empfohlen, Betriebssysteme und ihre Software immer auf dem neuesten Stand und mit Patches zu halten, um zu vermeiden, dass sie durch häufige Schwachstellen gefährdet werden, die zu einer Malware-Infektion führen könnten. Und Benutzern sollte es niemals gestattet sein, Software herunterzuladen und zu installieren, ohne dass das IT-Team des Unternehmens eine ordnungsgemäße Analyse durchführt.

Das Android SpinOk SDK ist ein herausragendes Spyware-Programm

Ein Software-Entwicklungskit für mobiles Marketing, das von ESET als SpinOk-Spyware identifiziert wurde, stieg im zweiten Halbjahr 2023 zur siebthäufigsten erkannten Android-Bedrohung und zur am weitesten verbreiteten Art von Spyware in diesem Zeitraum auf.

Das SpinOk SDK bot Entwicklern eine Spieleplattform zur Monetarisierung des Anwendungsverkehrs. Mehrere Entwickler haben das SDK in ihre Apps integriert, darunter auch Apps, die bereits auf offiziellen Android-Marktplätzen verfügbar sind. Sobald die Anwendung ausgeführt wird, beginnt sie als Spyware zu agieren und stellt eine Verbindung zu einem Befehls- und Kontrollserver her, bevor sie laut ESET beginnt, Daten vom Android-Gerät zu extrahieren, einschließlich potenziell sensibler Inhalte aus der Zwischenablage.

Der Schadcode verfügt über Funktionen, mit denen er versuchen soll, unentdeckt zu bleiben. Mithilfe des Gyroskops und des Magnetometers des Geräts wird ermittelt, ob es in einer virtuellen Umgebung oder in einer Laborumgebung ausgeführt wird. Ist dies der Fall, ändert es sein Verhalten, um einer Entdeckung durch Forscher zu entgehen.

Das SDK wurde in verschiedene legitime Android-Anwendungen integriert. Tatsächlich haben 101 Android-Apps das bösartige SDK verwendet, mit insgesamt mehr als 421 Millionen Downloads, wie ein Cybersicherheitsunternehmen im Mai 2023 berichtete Doktor Web, der Google kontaktiert hat; Anschließend entfernte Google alle diese Anwendungen aus dem Google Play Store. Das für SpinOk verantwortliche Unternehmen kontaktierte Doctor Web und aktualisierte sein Modul auf Version 2.4.2, wodurch alle Spyware-Funktionen entfernt wurden.

Eine Firma rief an Roaster Earn erklärte, wie es schließlich zur Installation des SDK kam in ihrer eigenen Anwendung. Im Grunde genommen wurden sie von der Firma OkSpin, die für das SpinOk SDK verantwortlich ist, mit einem „Umsatzwachstumsprogramm“ an sie herangetreten, das sie akzeptierten, bevor Google sie über die Entfernung ihrer App informierte, weil diese Spyware enthielt. Dieser Fall erinnert einmal mehr an das komplexe Problem der Einbindung von Drittcode in Software, der zunehmend von Cyberkriminellen missbraucht wird.

So verringern Sie das Risiko der Verwendung von Code von Drittanbietern in Software

• Analysieren Sie den Code von Drittanbietern nach Möglichkeit auf etwaige Anomalien. Dies kann dazu beitragen, nicht auf Code hereinzufallen, der schädliche Inhalte oder Funktionen enthält.
• Verwenden Sie statische Analysetools, um potenzielle Schwachstellen oder Verhaltensweisen zu erkennen.
• Überwachen Sie den Netzwerkverkehr auf verdächtigen oder unerwarteten Datenverkehr.
• Überprüfen Sie den Ruf des Codeanbieters und das Feedback zur Organisation sowie die Sicherheitszertifizierungen oder Audits, die der Anbieter möglicherweise weitergibt.

Offenlegung: Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine eigenen.