Nur ein Scherz unter Gaunern oder gleich ein neuer Geschäftszweig? Dass Cyberkriminelle es auf ihre Kollegen abgesehen haben, ist den Experten von Sophos X-Ops nicht neu. Nun hat Sophos 133 gefälschte Repositories aufgedeckt, die zu einer Kampagne gehören. Eine russische E-Mail-Adresse spielt auch eine Rolle.
Die Experten von Sophos X-Ops veröffentlichten kürzlich eine Studie über 133 gefälschte Repositories auf GitHub, die Möchtegern-Kriminelle und Gamer anvisiert. Diese Repositories – ob nun als Schadsoftware, Angriffstools oder Gaming Cheats beworben – funktionieren allerdings nicht, wenn die Anwender den Codiercode kompilieren oder ausführen. Stattdessen infizieren sie die Computer anderer Anwender mit Malware.
Trotz der zahlreichen unterschiedlichen Repositories und der Art und Weise, wie sie beworben wurden, verweisen die meisten auf die gleiche russische E-Mail-Adresse, was darauf schließen lässt, dass sie zu einer einzigen Kampagne gehören, die von einer Gruppe oder einem Einzeltäter betrieben wird.
Keine Kollegialität unter Cyberkriminellen
Das ist nicht das erste Mal, dass Sophos entdeckt hat, dass Cyberbetrüger andere Cyberkriminelle ins Visier nehmen. Tatsächlich gibt es eine ganze Subwirtschaft, die sich mit Betrügern beschäftigt, die andere Cyberkriminelle hintergehen. So hat Sophos kürzlich über die Revierkämpfe zwischen DragonForce und RansomHub berichtet.
In der aktuellen Kampagne sind folgende Erkenntnisse besonders aufgefallen:
Die Experten von Sophos X-Ops veröffentlichten kürzlich eine Studie über 133 gefälschte Repositories auf GitHub, die Möchtegern-Kriminelle und Gamer anvisiert. Diese Repositories – ob nun als Schadsoftware, Angriffstools oder Gaming Cheats beworben – funktionieren allerdings nicht, wenn die Anwender den Codiercode kompilieren oder ausführen. Stattdessen infizieren sie die Computer anderer Anwender mit Malware.
Trotz der zahlreichen unterschiedlichen Repositories und der Art und Weise, wie sie beworben wurden, verweisen die meisten auf die gleiche russische E-Mail-Adresse, was darauf schließen lässt, dass sie zu einer einzigen Kampagne gehören, die von einer Gruppe oder einem Einzeltäter betrieben wird.
Keine Kollegialität unter Cyberkriminellen
Das ist nicht das erste Mal, dass Sophos entdeckt hat, dass Cyberbetrüger andere Cyberkriminelle ins Visier nehmen. Tatsächlich gibt es eine ganze Subwirtschaft, die sich mit Betrügern beschäftigt, die andere Cyberkriminelle hintergehen. So hat Sophos kürzlich über die Revierkämpfe zwischen DragonForce und RansomHub berichtet.
In der aktuellen Kampagne sind folgende Erkenntnisse besonders aufgefallen:
- 58 Prozent der Repositories wurden als Gaming Cheats angepriesen, 24 Prozent als Schadsoftware-Projekte und 5 Prozent als Cryptowährungs-Tools.
- Die Entwickler kreierten vier verschiedene Versionen von Backdoors. Die meisten laden Infostealer und AsyncRat (ein bekannter Fernzugriffstrojaner) herunter. Automatisch haben die Angreifer Tausende von Updates in den Codiercode eingespielt, um das Repository legitim aussehen zu lassen. Eines der Repositories – SakuraRAT – war unbeabsichtigt von der Presse und den Nutzern sozialer Medien verbreitet worden. Sie hatten es entdeckt und fingen an, über seine Fähigkeiten zu spekulieren.
