Ein neuer Infostealer namens „Omnistealer“ verwandelt die Blockchain in eine dauerhafte Hosting-Plattform für Malware – eine schlechte Nachricht sowohl für Unternehmen als auch für normale Nutzer.
Es kommt häufig vor, dass Malware ihre Schadcode-Nutzlast auf einer öffentlichen Plattform speichert, vorzugsweise auf einer, die dem Download-Ort eine gewisse Vertrauenswürdigkeit verleiht, wie beispielsweise Google Docs, OneDrive, GitHub, npm, PyPI und so weiter.
Das Problem für Malware-Verbreiter ist, dass diese Programme entfernt werden können. Das kann zwar manchmal eine Weile dauern und mit viel Aufwand verbunden sein, ist aber möglich. Omnistealer umgeht dies, indem es seinen Staging-Code in Transaktionen auf öffentlichen Blockchains wie TRON, Aptos und Binance Smart Chain speichert.
Bei einigen Blockchain-Transaktionen können kleine Datenmengen beliebiger Art (Notizen, Metadaten, Eingaben für Smart Contracts) eingefügt werden; statt harmloser Daten fügen Angreifer jedoch Folgendes ein:
- Verschlüsselter Text
- Kodierte Befehle
- Teile von Malware-Code
Und da Blockchains nur umschreibbar sind, lassen sich diese bösartigen Code-Schnipsel praktisch nicht mehr löschen, sobald sie in einen Block eingebettet wurden. Man kann zwar Domains sperren und GitHub-Repositories entfernen, aber man kann TRON oder BSC nicht einfach zurücksetzen, nur um ein paar hundert Byte Malware-Staging-Code zu entfernen.
Dadurch werden öffentliche Blockchains zu einer robusten, zensurresistenten Infrastruktur für Steuerung und Kontrolle, die Verteidiger nicht einfach so lahmlegen können.
Trotz des offensichtlichen Bezugs zu Kryptowährungen zielt Omnistealer nicht ausschließlich darauf ab, Krypto-Investoren zu bestehlen. Sobald Omnistealer auf einem System Fuß gefasst hat, nimmt es folgende Ziele ins Visier:
- Mehr als 10 Passwortmanager, darunter auch für Privatanwender bestimmte Tools mit Cloud-Synchronisierung wie LastPass.
- Gängige Browser wie Chrome Firefox, die gespeicherte Anmeldedaten und Sitzungsdaten auslesen.
- Cloud-Speicherkonten, einschließlich der Anmeldedaten für Google Drive.
- Über 60 browserbasierte Krypto-Wallets, darunter beliebte Erweiterungen wie MetaMask und Coinbase Wallet.
Es ist als All-in-One-Datenabsauger konzipiert, von dem Ermittler sagen, dass er „buchstäblich alles stiehlt“.
Der Angriff beginnt in der Regel mit einem „einfachen“ Programmierauftrag: Ein Auftragnehmer erhält ein Angebot LinkedIn Upwork, ruft ein GitHub-Repository ab und führt einen Code aus, der wie ganz normaler Projektcode aussieht. Im Hintergrund greift dieser Code jedoch auf die Blockchain zu, liest Transaktionsdaten aus und nutzt diese als Hinweis, um die eigentliche Schadlast abzurufen und zu entschlüsseln.
Forscher schätzen, dass bereits rund 300.000 Zugangsdaten kompromittiert wurden, wobei das Spektrum von Plattformen der Erotikbranche über Lebensmittellieferdienste bis hin zu Finanzdienstleistern, Rüstungsunternehmen und US-Regierungsbehörden reicht.
Was Sie tun können
Man kann Malware nicht aus der Blockchain löschen, aber man kann es Kampagnen wie dieser deutlich erschweren, Ihnen zu schaden. Reduzieren Sie zunächst die Menge an Daten, die gestohlen werden kann. Schützen Sie dann Ihre Daten besser.
- Behandeln Sie „Traumjobs“ und unaufgeforderte Vertragsangebote grundsätzlich mit Vorsicht, insbesondere wenn die Kommunikation schnell auf Chats außerhalb der Plattform (Telegram, Discord) verlagert wird oder Sie aufgefordert werden, Code aus einem privaten Repository auszuführen.
- Speichern Sie Ihre Passwörter in einem seriösen Passwort-Manager und aktivieren Sie die Multi-Faktor-Authentifizierung (vorzugsweise per App oder Schlüssel statt per SMS) für alle wichtigen oder sensiblen Konten.
- Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung, um Bedrohungen wie Omnistealer zu blockieren, zu erkennen und zu entfernen.
- Verwende dein normales Benutzerprofil oder deinen Hauptarbeitsplatz nicht als Testumgebung für beliebige GitHub-Projekte oder Nebenprojekte. Nutze stattdessen eine virtuelle Maschine oder ein separates System.
- Behalten Sie Ihre Krypto- und Bankkonten im Auge, um unerklärliche Anmeldungen oder Abhebungen zu erkennen, und übertragen Sie Gelder in neue Wallets, wenn Sie einen Sicherheitsverstoß vermuten.
Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.
Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl.
