Wer anderen eine Grube gräbt… Hacker von eigener Malware enttarnt

Dem Bericht der Sicherheitsforscher zufolge nahmen die Angreifer gezielt Menschen ins Visier, die nach kostenlosen oder raubkopierten Versionen beliebter Software-Programme suchten. Dafür setzten sie gezielt SEO-Poisoning ein und posteten Beiträge mit entsprechenden Links in einschlägigen Foren und legitimen Online-Communities, um die Nutzer auf ihre kompromittierten Websites zu locken.

Dort boten sie raubkopierte Versionen von beliebter Software wie Adobe After Effects zum Download an. Fiel ein Nutzer darauf herein, lud er jedoch stattdessen gefährliche Infostealer-Malware wie Lumma, AMOS und Meta herunter. Außerdem wurden persönliche Daten gestohlen, darunter Passwörter, Browser-Informationen und Details zu Kryptowährungs-Wallets.

Der Bericht von CloudSEK zeigt, dass es sich dabei nicht etwa um eine kleine Hackeroperation handelt, sondern dass das Netzwerk über 449 Millionen Klicks und mehr als 1,88 Millionen Malware-Installationen generiert hat. Dieses immense Volumen brachte den Hintermännern einen geschätzten Gesamtumsatz von mindestens 4,67 Millionen US-Dollar ein. Schätzungen zufolge gibt es weltweit über 10 Millionen Opfer dieses Netzwerks, da gestohlene Daten für etwa 0,47 US-Dollar pro Datensatz verkauft wurden.

Die Untersuchung erläutert auch die interne Struktur der Gruppe, die auf zwei miteinander verbundenen Pay-Per-Install (PPI)-Netzwerken basiert: InstallBank und SpaxMedia/Installstera. Diese Systeme verwalteten ein riesiges Netzwerk von 5.239 Partnern, die für jede erfolgreiche Malware-Installation bezahlt wurden.

Darüber hinaus stellte CloudSEK fest, dass die Betreiber zwar ihren Sitz in Bahawalpur und Faisalabad in Pakistan hatten, ihre Opfer jedoch auf der ganzen Welt zu finden waren. Für die Zahlungen nutzten die Hacker traditionelle Finanzdienstleistungen wie Payoneer, was für eine Gruppe dieser Art ungewöhnlich ist. Außerdem hatten die Betreiber denselben Nachnamen, was darauf hindeutet, dass es sich um ein kriminelles Familienunternehmen handelte.

Ein entscheidender Wendepunkt in den Ermittlungen ergab sich durch Zufall. Die Betreiber wurden ironischerweise durch ihre eigene Malware infiziert, wodurch das Team von CloudSEK Zugriff auf ihre privaten Protokolle erhielt. Diese enthielten eine Fülle von Informationen, darunter Finanzunterlagen, interne Kommunikation und Administrator-Anmeldedaten, die die detaillierten Beweise lieferten, die erforderlich waren, um das gesamte Netzwerk aufzudecken.

Der Fall zeigt, dass Cyberkriminelle auch reguläre Marketingstrategien und sogar legitime Finanzdienstleistungen nutzen, um ihre illegalen Aktivitäten offen zu betreiben. Die gewaltige Schadenssumme beweist außerdem, dass raubkopierte Software als Köder funktioniert – auch wenn mittlerweile den meisten Internetnutzern bekannt sein dürfte, dass der Download von Software und Dateien aus unbekannten Quellen keine gute Idee ist.