Aufwärts den Mond und schnetzeln: Gefälschte SafeMoon-App legt Schadsoftware ab, um Sie auszuspionieren

Cyberkriminelle versuchen, aus dem „nächsten großen Sache“ im turbulenten Kryptowährungsraum Kapital zu versohlen, um die Computer welcher Menschen aus welcher Ferne zu kontrollieren und dann ihre Passwörter und ihr Geld zu stehlen. Eine kürzlich entdeckte Kampagne imitiert die SafeMoon-Kryptowährungs-App und verwendet ein gefälschtes Update, um Discord-Benutzer hinauf eine Website zu versuchen, die ein bekanntes Remote-Access-Tool (RAT) vertreibt.

SafeMoon ist eine welcher neuesten Altmünzen, um hinauf den Mond zu schießen. Seitdem seiner Lehrbuch vor sechs Monaten ist SafeMoon sehr beliebt (und in der Art von volatil), mit welcher Begeisterung, die von Influencer und zahlreiche Enthusiasten in den sozialen Medien. Die Begeisterung ist den Betrügern nicht entgangen, da Betrügereien gegen Benutzer von Kryptowährungen – einschließlich Betrug, nebst dem Prominente geheißen werden, um ihm zusammenführen zusätzlichen Reiz zu verleihen – seitdem Jahren weit verbreitet sind.

Houston, wir nach sich ziehen ein Problem

Jener Trick, welcher die plötzliche Popularität von SafeMoon ausnutzt, beginnt mit einer Nachricht (Illustration 1), die Schwindler an eine Warteschlange von Benutzern hinauf Discord gesendet nach sich ziehen. Die Schwindler verschenken sich qua offizielles SafeMoon-Konto aus und bewerben eine neue Version welcher App.

Illustration 1. Die Nachricht, die sich qua SafeMoon ausgibt

Wenn Sie hinauf die URL in welcher Nachricht klicken, landen Sie hinauf einer Website (Illustration 2), die wahrscheinlich so gestaltet ist, dass sie wie die offizielle Seite von SafeMoon aussieht – um genau zu sein die Frauenzimmer Version. Jener Domainname wurde erstmals im August 2021 von einem Reddit-Benutzer gemeldet und ahmt nachrangig sein legitimes Parallele nachdem, außer dass am Finale ein zusätzlicher Buchstabe hinzugefügt wird, in welcher Hoffnung, dass welcher Unterschied von den meisten Menschen in ihrer Eile, dasjenige erforderliche „Update“ zu erhalten, unbemerkt bleibt “. Zum Zeitpunkt des Schreibens ist die bösartige Site noch in Produktionsstätte.

Illustration 2. Die Nachahmung (L) im Vergleich zur legitimen (R) SafeMoon-Website, August 2021 (Quelle: web.archive.org)

Illustration 3. Die offizielle SafeMoon-Website, Entstehen zehnter Monat des Jahres 2021

Allesamt externen Sinister hinauf welcher Website sind legitim, mit Ausnahmefall des wohl wichtigsten – dem Link, welcher Sie auffordert, die „offizielle“ SafeMoon-App aus dem Google Play Store herunterzuladen. Anstelle welcher SafeMoon-App für jedes Menschenähnlicher Roboter-Geräte lädt sie eine Nutzlast herunter, die ziemlich gängige Standard-Windows-Software enthält, die sowohl für jedes legitime qua nachrangig für jedes schändliche Zwecke verwendet werden kann.

Illustration 4. Jener Entwicklungsabschnitt welcher verschleierten bösartigen App

Nachher welcher Vollziehung wird dasjenige Installationsprogramm (Safemoon-App-v2.0.6.exe) legt mehrere Dateien hinauf dem System ab, darunter eine RAT namens Remcos. Obwohl welche RAT qua legitimes Werkzeug angepriesen wird, wird sie nachrangig in Untergrundforen zum Verkauf angeboten, welches ihr von kurzer Dauer nachdem welcher Veröffentlichung des Werkzeugs nachrangig eine offizielle Warnung welcher US-Behörden einbrachte. Wenn es für jedes unartig Zwecke verwendet wird, wird ein RAT stattdessen oft qua „Remote-Access-Trojanisches Pferd“ verstanden.

Remcos wurde seitdem in einer Warteschlange von Kampagnen eingesetzt, sowohl von Cybercrime- qua nachrangig von Cyberspionage-Gruppen. Tatsächlich entdeckten ESET-Forscher erst vor wenigen Monaten Remcos nebst welcher sogenannten „Operation Spalax“, nebst welcher Bedrohungsakteure eine Warteschlange von Organisationen in Kolumbien ins Visier nahmen.

Wie nebst RATs gängig, gibt Remcos dem Angreifer eine Hintertür in den Computer des Opfers und wird verwendet, um sensible Datenansammlung des Opfers zu vereinen. Es wird oberhalb zusammenführen Command and Control (Kohlenstoff&Kohlenstoff) Server betrieben, dessen IP-Note in die heruntergeladenen Dateien eingefügt wird. Zu den Fähigkeiten von Remcos in Besitz sein von welcher Raub von Anmeldeinformationen von verschiedenen Webbrowsern, dasjenige Protokollieren von Tastenanschlägen, dasjenige Kidnappen welcher Webcam, dasjenige Ingestieren von Audio vom Mikrofon des Opfers, dasjenige Herunterladen und Effektuieren zusätzlicher Schadsoftware hinauf dem Computer … die ganzen neun Meter, wirklich.

Ein flüchtiger Blick in die Konfigurationsdatei welcher RAT (Illustration 5) vermittelt zusammenführen Eindruck von welcher umfangreichen Systemfunktionalität.

Illustration 5. Teil welcher Binärdatei welcher Remcos-Konfigurationsdatei, die einiges von dem zeigt, worauf die RAT sucht

Schnall dich an

Ein paar grundlegende Vorsichtsmaßnahmen werden zusammenführen großen Mitgliedsbeitrag dazu leisten, sich vor diesen Betrügereien zu schützen:

• Seien Sie vorsichtig nebst jeglicher Kommunikation aus dem Nichts heraus, sei es per E-Mail-Dienst, Social Media, SMS oder anderen Kanälen
• Klicken Sie in solchen Nachrichtensendung nicht hinauf Sinister, insbesondere wenn sie von einer nicht verifizierten Quelle stammen
• Würdigen Sie hinauf Unregelmäßigkeiten in URLs – verschenken Sie sie besser selbst ein
• Verwenden Sie starke und eindeutige Passwörter oder Passphrasen und, solange wie verfügbar, Zwei-Kriterium-Authentifizierung (2FA)
• Zweck Sie umfassende Sicherheitssoftware

Wenn es um Investitionen in Kryptowährungen geht, zu tun sein Sie mit Vorsicht vorgehen, und dasjenige nicht nur, weil welcher Markt voll von Anlagebetrug, gefälschten Werbegeschenken und anderen Betrügereien ist. Ungeachtet sicher Kontakt haben Sie die Tutorium inzwischen.

Indikatoren für jedes Kompromisse (IoCs)

Die später qua Teil des Remcos-Pakets heruntergeladenen Dateien werden von ESET-Produkten qua Win32/Rescoms.B.