Cybersecurity-Forscher haben eine raffinierte Malware-Kampagne aufgedeckt, die von der Hackergruppe Void Arachne orchestriert wird. Diese Gruppe zielt auf chinesischsprachige Nutzer ab, indem sie schädliche Windows-Installer-Dateien (MSI) verteilt.
Die Kampagne nutzt beliebte Software und KI-Technologien, um ahnungslose Opfer anzulocken, was zu erheblichen Sicherheitsverletzungen und potenziellen finanziellen Verlusten führen kann.
Gezielte Angriffe auf chinesischsprachige Nutzer
Void Arachne fokussiert sich hauptsächlich auf die chinesischsprachige Demografie und nutzt dabei SEO-Poisoning und weit verbreitete Messaging-Anwendungen wie Telegram. Laut den TrendMicro-Blogs hat die Hackergruppe schädliche MSI-Dateien verbreitet, die mit Nudifizierern und Deepfake-Pornografie-Generatoren ausgestattet sind und das öffentliche Interesse an KI-Technologien ausnutzen.
Diese kompromittierten Dateien werden als legitime Software-Installer beworben, darunter Sprachpakete, VPNs und KI-gestützte Anwendungen.
Technische Analyse
Die schädlichen MSI-Dateien, wie zum Beispiel letvpn.msi, verwenden Dynamic Link Libraries (DLLs) während der Installation. Diese DLLs erleichtern verschiedene Operationen, darunter das Management von Eigenschaften, die Aufgabenplanung und die Konfiguration der Firewall. Das MSI-File erstellt geplante Aufgaben und konfiguriert Firewall-Regeln, um sowohl eingehenden als auch ausgehenden Traffic, der mit der Malware verbunden ist, zu erlauben und so einen ununterbrochenen Betrieb zu gewährleisten.
Malicious AI Applications
Void Arachne hat auch KI-Technologien beworben, die für virtuelle Entführungen und Sextortion-Schemes genutzt werden können. Dazu gehören Anwendungen zur Sprachveränderung und zum Gesichts-Tausch, die auf Telegram-Kanälen beworben werden. Die Gruppe hat infizierte Modifikator-Anwendungen geteilt, die nicht einvernehmliche Deepfake-Pornografie erstellen, oft genutzt in Sextortion-Schemes.
Vertriebsmethoden
Void Arachne verwendet mehrere initiale Zugangsmethoden zur Verbreitung von Malware, darunter SEO-Poisoning und Spear-Phishing-Links. Diese Links sind auf Angreifer-kontrollierten Websites gehostet, die als legitime Seiten getarnt sind und hoch in Suchmaschinen ranken. Die Gruppe teilt auch schädliche MSI-Dateien auf chinesischsprachigen Telegram-Kanälen, was die Infektionswahrscheinlichkeit erhöht.
Auswirkungen und Empfehlungen
Die Verbreitung dieser schädlichen MSI-Dateien stellt eine erhebliche Bedrohung für Organisationen und Einzelpersonen dar. Malware kann zu Systemkompromittierung, Datendiebstahl und finanziellen Verlusten führen. Trend Micro hat umfassende Ressourcen zusammengestellt, um die Gemeinschaft über die Identifizierung, Verhinderung und Bekämpfung von Sextortion-Angriffen aufzuklären.
Opfern wird dringend geraten, Vorfälle den zuständigen Behörden, wie dem Internet Crime Complaint Center (IC3), zu melden. Die Kampagne von Void Arachne unterstreicht die wachsende Raffinesse von Cyberbedrohungen und die Notwendigkeit robuster Cybersicherheitsmaßnahmen. Einzelpersonen und Organisationen können sich vor solchen bösartigen Kampagnen schützen, indem sie wachsam bleiben und umfassende Sicherheitspraktiken anwenden.