In einer überraschenden Wendung der Cyberkriminalität haben Sicherheitsforscher von Veriti Research eine raffinierte Angriffsmethode aufgedeckt, bei der Hacker andere Cyberkriminelle ins Visier nehmen. Im Mittelpunkt steht ein gefälschtes Tool zum Hacken von OnlyFans-Konten, das in Wirklichkeit den gefährlichen Infostealer Lumma auf die Systeme der ahnungslosen Anwender einschleust.
Die Verlockung von OnlyFans als Köder
OnlyFans, eine beliebte Content-Sharing-Plattform, ist aufgrund ihrer lukrativen Natur häufig das Ziel von Cyberkriminellen. Hacker versuchen, Konten zu kompromittieren, um Zahlungen abzufangen, Erpressungen durchzuführen oder sensibles Material zu stehlen. Um diesen Prozess zu automatisieren, greifen viele auf spezielle „Checker“-Tools zurück, die gestohlene Zugangsdaten in großem Umfang auf ihre Gültigkeit prüfen.
Das trojanische Pferd: Gefälschtes OnlyFans-Hacking-Tool
Die Forscher von Veriti Research entdeckten ein solches Tool, das vorgab, OnlyFans-Konten zu überprüfen. In Wirklichkeit installierte es jedoch die Lumma-Malware auf den Systemen der Anwender. Lumma, ein seit 2022 aktiver Infostealer, wird als Malware-as-a-Service (MaaS) für monatlich 250-1000 US-Dollar angeboten.
Funktionen und Gefährlichkeit von Lumma
Lumma ist ein hochentwickelter Infostealer mit fortschrittlichen Tarnfähigkeiten. Er kann:
- Zwei-Faktor-Authentifizierungscodes stehlen
- Kryptowährungs-Wallet-Daten extrahieren
- Passwörter, Cookies und Kreditkartendaten aus Browsern und Dateisystemen entwenden
- Als Loader für zusätzliche Malware fungieren
- PowerShell-Skripte ausführen
Anatomie des Angriffs
Bei der Analyse des Angriffs stellten die Forscher fest, dass die Malware als ausführbare Datei „brtjgjsefd.exe“ von einem GitHub-Repository heruntergeladen wurde. Nach der Aktivierung kommunizierte Lumma mit dem GitHub-Konto „UserBesty“, das weitere schädliche Programme enthielt, darunter vermeintliche Checker für Disney+ und Instagram sowie einen Mirai-Botnet-Builder.
Command-and-Control-Infrastruktur
Die Untersuchung der Malware-Kommunikation offenbarte mehrere Domains in der .shop-Zone, die als Command-and-Control-Server fungierten. Diese Server steuerten die Lumma-Infektionen und empfingen die gestohlenen Daten.
Ein wiederkehrendes Muster in der Cyberkriminalität
Dieser Fall ist nicht der erste, bei dem Hacker ihre eigenen „Kollegen“ angreifen. Im Jahr 2022 wurden auf Hacking-Foren Malware verbreitet, die sich als gecrackte RATs (Remote Access Tools) oder Malware-Entwicklungstools tarnten. In einem anderen Fall hatte der Entwickler des Prynt Stealer eine Hintertür in seine eigene Malware eingebaut, um zusätzlich zu den eigentlichen Betreibern auch selbst Zugriff auf die gestohlenen Daten zu erhalten.
Diese Vorfälle unterstreichen die Komplexität und Unberechenbarkeit der Cyberkriminalität. Sie zeigen, dass selbst in der Unterwelt des Internets Vorsicht und Misstrauen angebracht sind. Für legitime Nutzer und Unternehmen verstärkt dies die Notwendigkeit robuster Cybersicherheitsmaßnahmen. Es verdeutlicht, dass niemand – nicht einmal Cyberkriminelle selbst – vor den Gefahren bösartiger Software gefeit ist. Um sich zu schützen, ist es unerlässlich, nur vertrauenswürdige Software aus offiziellen Quellen zu verwenden, Systeme regelmäßig zu aktualisieren und umfassende Sicherheitslösungen einzusetzen.