Cyberkriminelle zielen mit gefälschter Malware und Gaming Cheats auf ihre eigenen Leute

11. Juni 2025, 10:17 Uhr · Quelle: Pressebox

Cyberkriminelle haben 133 gefälschte Repositories auf GitHub entdeckt, die ihre eigenen Kollegen mit Malware angreifen. Die Kampagne enthält unter anderem fälschlicherweise als Gaming Cheats beworbene Projekte und verweist auf eine russische E-Mail-Adresse, was auf eine organisierte Gruppe hinweist.

Wiesbaden, 11.06.2025 (PresseBox) - Nur ein Scherz unter Gaunern oder gleich ein neuer Geschäftszweig? Dass Cyberkriminelle es auf ihre Kollegen abgesehen haben, ist den Experten von Sophos X-Ops nicht neu. Nun hat Sophos 133 gefälschte Repositories aufgedeckt, die zu einer Kampagne gehören. Eine russische E-Mail-Adresse spielt auch eine Rolle.

Die Experten von Sophos X-Ops veröffentlichten kürzlich eine Studie über 133 gefälschte Repositories auf GitHub, die Möchtegern-Kriminelle und Gamer anvisiert. Diese Repositories – ob nun als Schadsoftware, Angriffstools oder Gaming Cheats beworben – funktionieren allerdings nicht, wenn die Anwender den Codiercode kompilieren oder ausführen. Stattdessen infizieren sie die Computer anderer Anwender mit Malware.

Trotz der zahlreichen unterschiedlichen Repositories und der Art und Weise, wie sie beworben wurden, verweisen die meisten auf die gleiche russische E-Mail-Adresse, was darauf schließen lässt, dass sie zu einer einzigen Kampagne gehören, die von einer Gruppe oder einem Einzeltäter betrieben wird.

Keine Kollegialität unter Cyberkriminellen

Das ist nicht das erste Mal, dass Sophos entdeckt hat, dass Cyberbetrüger andere Cyberkriminelle ins Visier nehmen. Tatsächlich gibt es eine ganze Subwirtschaft, die sich mit Betrügern beschäftigt, die andere Cyberkriminelle hintergehen. So hat Sophos kürzlich über dieRevierkämpfezwischen DragonForce und RansomHub berichtet.

In der aktuellen Kampagne sind folgende Erkenntnisse besonders aufgefallen:

58 Prozent der Repositories wurden als Gaming Cheats angepriesen, 24 Prozent als Schadsoftware-Projekte und 5 Prozent als Cryptowährungs-Tools.

Die Entwickler kreierten vier verschiedene Versionen von Backdoors. Die meisten laden Infostealer und AsyncRat (ein bekannter Fernzugriffstrojaner) herunter. Automatisch haben die Angreifer Tausende von Updates in den Codiercode eingespielt, um das Repository legitim aussehen zu lassen. Eines der Repositories – SakuraRAT – war unbeabsichtigt von der Presse und den Nutzern sozialer Medien verbreitet worden. Sie hatten es entdeckt und fingen an, über seine Fähigkeiten zu spekulieren.

Sophos hat die Backdoor Repositories GitHub und anderen Webseiten, bei denen die Payloads gehostet werden, gemeldet und die Mehrheit wurde inzwischen vom Netz genommen. Die detaillierte Untersuchung kann im englischen Blogbeitrag „The strange tale of ischhfd83: When cybercriminals eat their own“nachgelesen werden.

Sicherheit
[pressebox.de] · 11.06.2025 · 10:17 Uhr
[0 Kommentare]