Gamer geraten ins Visier von Stealern und Phishern, so Dr. Martin J. Krämer, Sicherheitsexperte bei KnowBe4. | Gamers are being targeted by infostealers and phishers, says Dr. Martin J. Krämer, security expert at KnowBe4. |
Wer gerne spielt, lebt gefährlich. Forscher von Malwarebytes haben kürzlich in einem Blogeintrag eine neue Phishing-Kampagne vorgestellt, die auf Gamer abzielt. Die Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden. Laden sie eine Archivdatei mit dem vermeintlichen Spiel auf ihr System herunter, befinden sich unter den Daten Infostealer. Deren Ziel: Finanzdaten auszuspähen – und die Kontaktdaten möglicher Spielfreunde.
Um mit ihren potenziellen Opfern in Kontakt zu treten, setzen die Angreifer neben herkömmlichen E-Mails und SMS auch auf Direktnachrichten der Gaming-Chat-App Discord. Die Angeschriebenen werden gefragt, ob sie Interesse daran hätten, Betatester für ein neues Videospiel zu werden. Um die Anfrage möglichst realistisch erscheinen zu lassen, geben sich die Angreifer oft als Spieleentwickler aus. Signalisiert ein Opfer Interesse, wird ihm ein Passwort und ein Download-Link zu einem Archiv zugeschickt, auf dem sich das Installationsprogramm des Spiels befinden soll. Der Download erfolgt in der Regel über typische Filehosting-Dienste wie Dropbox und Catbox oder auch das Discord Content Delivery Network (CDN). Häufig werden kompromittierte Benutzerkonten verwendet, um die vermeintliche Glaubwürdigkeit des Angebots zu unterstreichen. Lädt sich ein Opfer dann das Archiv herunter, befindet sich unter den Dateien auch Malware. Um sie zu tarnen, bringen die Angreifer NSIS-Installer und MSI-Installer zum Einsatz. Drei unterschiedliche Infostealer haben die Experten von Malwarebytes ausgemacht: Nova Stealer, Ageo Stealer und Hexon Stealer. Bei Nova Stealer und Ageo Stealer handelt es sich um Malware-as-a-Service-Stealer. Sie sind spezialisiert auf den Diebstahl von Anmeldeinformationen, die in Browsern abgespeichert werden, von Sitzungs-Cookies – von Plattformen wie Discord und Steam – sowie von Informationen, die in Zusammenhang mit Kryptowährungs-Wallets stehen. Ein Teil der Nova Stealer-Infrastruktur ist ein Discord-Webhook, der es Cyberkriminellen ermöglicht, über den Server Daten an den Client senden zu lassen, sobald ein bestimmtes Ereignis eintritt. So müssen die Angreifer nicht regelmäßig nach den erhofften Informationen suchen, sondern werden automatisch benachrichtigt, sobald diese eintreffen. Der Hexon-Stealer ist relativ neu. Er basiert auf dem Code von Stealit Stealer und ist in der Lage, Discord-Token, 2FA-Backup-Codes, Browser-Cookies, Autofill-Daten, gespeicherte Passwörter, Kreditkartendaten und sogar Informationen zu Kryptowährungs-Wallets zu exfiltrieren. Eines der Hauptinteressen der Kriminellen scheint die Kompromittierung weiterer Discord-Nutzerkonten zu sein. Um erfolgreich in großem Stil Phishing, Spear Phishing und Social Engineering betreiben zu können, sind sie auf eine möglichst große Zahl kompromittierter Nutzerkonten angewiesen, über die sie mit ihren potenziellen Opfern interagieren können. Discord-Konten von Gamern sind da sehr interessant, da viele Opfer mit ihren Freunden über die Chat-App verbunden sind. Mit den kompromittierten Konten können die Angreifer ihren Opfern vorgaukeln, Gamer-Freunde zu sein – und sie dann, zum Beispiel, zu Details ihres Arbeitsplatzes ausfragen. Die Angriffskampagne zeigt: immer tiefer dringen Phishing-, Spear Phishing- und Social Engineering in unseren Alltag vor. Angreifer nutzen mittlerweile jeden sich bietenden Ansatzpunkt, um an Daten zu gelangen, die ihnen für weitere Angriffe dienlich sein können. ‚Compromise now, benefit later‘ lautet die Devise. Unternehmen müssen hier stärker gegensteuern. Sie müssen ihr Human Risk Management (HRM) ausbauen und erweitern. Regelmäßige Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins haben dabei ebenso im Fokus zu stehen, wie der Ausbau der Sicherheit der E-Mail-Kommunikation – zum Beispiel durch die Implementierung KI-gestützter E-Mail-Sicherheitslösungen. Anders wird der sich stetig verschlechternden Bedrohungslage in Punkto Mitarbeiter-Kompromittierung kaum beizukommen sein. |
Gamers live dangerously. Researchers at Malwarebytes recently published a blog post about a new phishing campaign targeting gamers. Victims are lured with an offer to become a beta tester for a new video game. When they download an archive file containing the supposed game onto their system, the data contains information stealers. Their goal: to spy out financial information – and the contact details of potential friends of the game.
In addition to conventional emails and text messages, the attackers use direct messages from the gaming chat application Discord to contact their potential victims. Recipients are asked if they would be interested in becoming a beta tester for a new video game. To make the request seem as realistic as possible, the attackers often pretend to be game developers. If a victim indicates interest, they are sent a password and a download link to an archive containing the installation program for the game. The download usually takes place via typical file hosting services such as Dropbox and Catbox, or the Discord Content Delivery Network (CDN). Compromised user accounts are often used to emphasize the supposed credibility of the offer. When a victim downloads the archive, malware is also found among the files. The attackers use NSIS installers and MSI installers to disguise them. Malwarebytes experts have identified three different infostealers: Nova Stealer, Ageo Stealer and Hexon Stealer. Nova Stealer and Ageo Stealer are Malware-as-a-Service stealers. They specialize in stealing login credentials stored in browsers, session cookies – from platforms such as Discord and Steam – and information related to cryptocurrency wallets. Part of the Nova Stealer infrastructure is a Discord webhook that allows cybercriminals to send data to the client via the server when a certain event occurs. This means that the attackers do not have to regularly search for the desired information, but are automatically notified as soon as it arrives. Hexon Stealer is relatively new. It is based on the Stealit Stealer code and is capable of exfiltrating Discord tokens, 2FA backup codes, browser cookies, autofill data, saved passwords, credit card details, and even cryptocurrency wallet information. One of the criminals‘ main interests seems to be compromising more Discord user accounts. In order to successfully conduct large-scale phishing, spear-phishing, and social engineering operations, they need as many compromised user accounts as possible through which to interact with their potential victims. Gamer Discord accounts are very interesting in this regard, as many victims are connected to their friends through the chat application. With compromised accounts, the attackers can trick their victims into thinking they are friends of gamers – and then ask them for details about their workplace, for example. The attack campaign shows that phishing, spear-phishing and social engineering are becoming more pervasive. Attackers are now using any available entry point to gain data that can be used for further attacks. Compromise now, profit later“ is the motto. Organizations must take stronger countermeasures. They need to expand and enhance their human risk management (HRM). Regular phishing tests and digital security awareness training are just as important as enhancing the security of email communication, for example by implementing AI-based email security solutions. Otherwise, it will be difficult to keep up with the ever-increasing threat of employee compromise. |

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de