Palo Alto Networks: BabyShark - Cyberkriminelle nehmen Kryptowährungsbranche ins Visier

06. Mai 2019 - Die Cyber Security-Experten von Palo Alto Networks melden, dass die Angreifer hinter der Malware-Familie BabyShark ihre Aktivitäten über Cyberspionage hinaus auf Cyberangriffe gegen die Kryptowährungsbranche ausgeweitet haben. Palo Alto Networks entdeckte Köderdokumente im Zusammenhang mit xCryptoCrash, ein Online-Glücksspiel. Dies deutet darauf hin, dass die Angreifer nun auch die Kryptowährungsbranche im Visier haben.

Palo Alto Networks analysierte Code, der auf einem von den Angreifern gesteuerten Server gefunden wurden, einschliesslich der anfänglichen Malware zum Starten der Angriffe sowie zwei weiteren Dateien, KimJongRAT und PCRat, die BabyShark auf den Rechnern der Angriffsopfer installiert. Die Malware-Autoren bezeichneten diese beiden Dateien intern als "Cowboys".

Im jüngst veröffentlichten Forschungsbericht kommt Unit 42/Palo Alto Networks, zu dem Schluss, dass die BabyShark-Angriffe wahrscheinlich fortgesetzt und sich auf weitere Branchen ausdehnen werden. KimJongRAT scheint verwendet zu werden, um E-Mail-Zugangsdaten von Microsoft Outlook und Mozilla Thunderbird sowie Zugangsdaten für Google-, Facebook- und Yahoo-Konten zu stehlen, die in weit verbreiteten Browsern gespeichert sind. Diese Daten werden dann mit anderer Malware wie BabyShark und PCRat an den Kontrollserver der Angreifer gesendet.

Unit 42 von Palo Alto Networks entdeckte BabyShark erstmals im Februar, nachdem die Forscher die frühesten bekannten Proben analysiert hatte, die im November 2018 für Speer-Phishing-Angriffe verwendet wurden. Diese E-Mails wurden mit der Absicht erstellt, den Anschein zu erwecken, von einem Experten für nukleare Sicherheit in einem Think Tank der US-Nationalsicherheit abgesendet worden zu sein.

Die E-Mails hatten eine Betreffzeile, die auf die nuklearen Situation Nordkoreas verwies. Ein angehängtes Excel-Dokument enthielt die BabyShark-Malware. Die E-Mails richteten sich an den Think Tank, in dem der Nuklearexperte arbeitet, und an eine US-Universität, die Schauplatz einer Konferenz zur De-Nuklearisierung Nordkoreas war.

Quelle: Infopoint-Security.de, Autor: Herbert Wieler

Mehr Infos: Unit 42 von Palo Alto Networks