Hackergruppe enttarnt: Eigene Malware führte zur Aufdeckung
Sicherheitsforscher von CloudSEK haben eine international agierende Hackergruppe enttarnt, die Infostealer-Malware über raubkopierte Software verbreitete, so ein Bericht von 8com. Besonders bemerkenswert: Die Täter wurden durch ihre eigene Schadsoftware kompromittiert und lieferten so unbeabsichtigt die entscheidenden Hinweise.
Ursprung und Vorgehensweise
Inhaltsverzeichnis
Die von CloudSEK enttarnte Hackergruppe war mindestens fünf Jahre aktiv und operierte mutmaßlich aus Bahawalpur und Faisalabad in Pakistan. Im Fokus der Angriffe standen vor allem Nutzer, die nach kostenlosen oder illegalen Versionen beliebter Software suchten. Über sogenanntes SEO-Poisoning verbreiteten die Täter manipulierte Links in Foren und Communities, die auf präparierte Websites führten.
Anstelle der erhofften Programme installierten die Opfer Infostealer wie Lumma, AMOS oder Meta. Diese Schadsoftware stahl Passwörter, Browserdaten sowie Zugänge zu Kryptowährungs-Wallets.
Dimensionen des Netzwerks
Dass eine Hackergruppe enttarnt werden konnte, die in diesem Ausmaß operierte, verdeutlicht die Tragweite des Falls. Laut CloudSEK generierte das Netzwerk über 449 Millionen Klicks und mehr als 1,88 Millionen Malware-Installationen. Weltweit könnten über 10 Millionen Nutzer betroffen sein. Da gestohlene Datensätze für etwa 0,47 US-Dollar pro Stück verkauft wurden, beläuft sich der Umsatz der Täter auf mindestens 4,67 Millionen US-Dollar.
Geschäftsmodell über PPI-Netzwerke
Nachdem die Hackergruppe enttarnt wurde, stellte sich heraus, dass sie zwei Pay-Per-Install-Netzwerke nutzte: InstallBank und SpaxMedia/Installstera. Über diese Systeme waren mehr als 5.200 Partner eingebunden, die für jede erfolgreiche Installation der Malware bezahlt wurden. Auffällig war außerdem, dass die Täter ihre Finanztransaktionen über den regulären Dienstleister Payoneer abwickelten – ein ungewöhnlicher Schritt in der Welt der Cyberkriminalität.
Zufällige Selbstenttarnung
Die Aufdeckung gelang letztlich durch einen Zufall: Die Hacker infizierten sich selbst mit ihrer eigenen Malware. Dadurch erhielten die Forscher Zugang zu internen Protokollen, darunter Finanzunterlagen, Administrator-Zugangsdaten und private Kommunikation. Mit diesen Informationen konnte die gesamte Struktur des Netzwerks rekonstruiert und die Verantwortlichen identifiziert werden.
Dass eine Hackergruppe enttarnt wurde, die jahrelang unbemerkt weltweit agieren konnte, zeigt sowohl die Gefahrenlage als auch die Bedeutung moderner Sicherheitsforschung. Der Fall unterstreicht, wie professionell Cyberkriminelle inzwischen vorgehen, indem sie legale Marketingmethoden wie Suchmaschinenoptimierung oder Partnernetzwerke nutzen.
Ob die Verantwortlichen rechtlich belangt werden, hängt von der internationalen Zusammenarbeit der Ermittlungsbehörden ab. Für Nutzer gilt weiterhin: Der sicherste Schutz vor Infostealern besteht darin, Software ausschließlich aus vertrauenswürdigen Quellen zu beziehen.
Faktenbox
| Hackergruppe enttarnt | |
|---|---|
| Aktiv seit | mindestens 5 Jahren |
| Standorte | Bahawalpur und Faisalabad, Pakistan |
| Klicks auf kompromittierte Seiten | 449 Millionen |
| Anzahl Malware-Installationen | 1,88 Millionen |
| Geschätzte Opferzahl weltweit | über 10 Millionen |
| Umsatz der Gruppe | mindestens 4,67 Mio. US-Dollar |
| Verwendete Malware | Lumma, AMOS, Meta |
| Vertriebswege | SEO-Poisoning, Foren, PPI-Netzwerke |
| onlinemarktplatz.de Newsletter |
|---|
Sparen Sie sich die Suche nach den relevanten Themen. Wir senden Ihnen einmal wöchentlich die meistgelesenen News und wichtigsten Updates direkt in Ihr Postfach. |
