Wer anderen eine Grube gräbt…Hacker von eigener Malware enttarnt
Sicherheitsforscher haben eine pakistanische Hackergruppe enttarnt, die Infostealer-Malwareüber raubkopierte Software verbreitet hat. Ironischerweise kam ihnen dabei zugute, dass die Hacker selbst durch einen Infostealer kompromittiert wurden.
(PresseBox) - Sicherheitsforscher von CloudSEK haben eine seit mindestens fünf Jahren aktive Hackergruppe enttarnt. Die offenbar von nur einer Familie in Pakistan betriebene Operation hat in dieser Zeit mehrere Millionen US-Dollar an Schäden verursacht.
Dem Bericht der Sicherheitsforscher zufolge nahmen die Angreifer gezielt Menschen ins Visier, die nach kostenlosen oder raubkopierten Versionen beliebter Software-Programme suchten. Dafür setzten sie gezielt SEO-Poisoning ein und posteten Beiträge mit entsprechenden Links in einschlägigen Foren und legitimen Online-Communities, um die Nutzer auf ihre kompromittierten Websites zu locken.
Dort boten sie raubkopierte Versionen von beliebter Software wie Adobe After Effects zum Download an. Fiel ein Nutzer darauf herein, lud er jedoch stattdessen gefährliche Infostealer-Malware wie Lumma, AMOS und Meta herunter. Außerdem wurden persönliche Daten gestohlen, darunter Passwörter, Browser-Informationen und Details zu Kryptowährungs-Wallets.
Der Bericht von CloudSEK zeigt, dass es sich dabei nicht etwa um eine kleine Hackeroperation handelt, sondern dass das Netzwerküber 449 Millionen Klicks und mehr als 1,88 Millionen Malware-Installationen generiert hat. Dieses immense Volumen brachte den Hintermännern einen geschätzten Gesamtumsatz von mindestens 4,67 Millionen US-Dollar ein. Schätzungen zufolge gibt es weltweit über 10 Millionen Opfer diesesNetzwerks, da gestohlene Daten für etwa 0,47 US-Dollar pro Datensatz verkauft wurden.
Die Untersuchung erläutert auch die interne Struktur der Gruppe, die auf zwei miteinander verbundenen Pay-Per-Install (PPI)-Netzwerken basiert: InstallBank und SpaxMedia/Installstera. Diese Systeme verwalteten ein riesiges Netzwerk von 5.239 Partnern, die für jede erfolgreiche Malware-Installation bezahlt wurden.
Darüber hinaus stellte CloudSEK fest, dass die Betreiber zwar ihren Sitz in Bahawalpur und Faisalabad in Pakistan hatten, ihre Opfer jedoch auf der ganzen Welt zu finden waren. Für die Zahlungen nutzten die Hacker traditionelle Finanzdienstleistungen wie Payoneer, was für eine Gruppe dieser Art ungewöhnlich ist. Außerdem hatten die Betreiber denselben Nachnamen, was darauf hindeutet, dass es sich um ein kriminelles Familienunternehmen handelte.
Ein entscheidender Wendepunkt in den Ermittlungen ergab sich durch Zufall. Die Betreiber wurden ironischerweise durch ihre eigene Malware infiziert, wodurch das Team von CloudSEK Zugriff auf ihre privaten Protokolle erhielt. Diese enthielten eine Fülle von Informationen, darunter Finanzunterlagen, interne Kommunikation und Administrator-Anmeldedaten, die die detaillierten Beweise lieferten, die erforderlich waren, um das gesamte Netzwerk aufzudecken.
Der Fall zeigt, dass Cyberkriminelle auch reguläre Marketingstrategien und sogar legitime Finanzdienstleistungen nutzen, um ihre illegalen Aktivitäten offen zu betreiben. Die gewaltige Schadenssumme beweist außerdem, dass raubkopierte Software als Köder funktioniert – auch wenn mittlerweile den meisten Internetnutzern bekannt sein dürfte, dass der Download von Software und Dateien aus unbekannten Quellen keine gute Idee ist.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 20.08.2025 - 14:37 Uhr
Sprache: Deutsch
News-ID 2192307
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 6321 484460
Kategorie:
Dieser Fachartikel wurde bisher 7 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Wer anderen eine Grube gräbt…Hacker von eigener Malware enttarnt"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).