
Microsoft hat kürzlich vor Hackern gewarnt, die OAuth-Anwendungen für Phishing missbrauchen, und frühere Vorfälle zeigten, dass Angreifer Malware mithilfe legitimer digitaler Zertifikate verbreiteten. Jetzt sagen Forscher, dass böswillige Akteure die KI-gestützten Suchergebnisse von Bing genutzt haben, um Malware zu verbreiten.
Angreifer förderten gefälschte OpenClaw-Installationsprogramme, die auf GitHub gehostet wurden und von der KI-Suche von Bing empfohlen wurden, als Benutzer nach der Windows-Version des Open-Source-KI-Agenten suchten.
Gefälschte OpenClaw-Installationsprogramme, die über die Bing-KI-Suche beworben werden
OpenClaw ist ein Open-Source-KI-Agent, der bei Entwicklern und KI-Enthusiasten beliebt geworden ist. Bedrohungsakteure versuchten, diese Popularität auszunutzen, indem sie bösartige GitHub-Repositories veröffentlichten, die sich als legitime OpenClaw-Installationsprogramme ausgaben.
Sicherheitsforscher von Huntress entdeckten die Kampagne, nachdem sie mehrere Repositories identifiziert hatten, die auf den ersten Blick legitim erschienen.
Die Angreifer versuchten, die Projekte vertrauenswürdig erscheinen zu lassen, indem sie einen GitHub-Organisationsnamen verwendeten, der dem echten ähnelte, beispielsweise openclaw-installer. Die Repositories kopierten auch Code aus dem Cloudflare-Moltworker-Projekt, um den Anschein authentischer Entwicklungsaktivitäten zu erwecken.
Quelle: Jägerin
Berichten zufolge empfahl die KI-Suche von Bing eines dieser Repositories, als Benutzer nach einer Windows-Version von OpenClaw suchten, und verwies die Opfer auf die schädlichen Installationsanweisungen.
macOS-Benutzer, die mit dem Terminalbefehl angesprochen werden
Die Angriffskette für macOS beruhte auf Social Engineering durch Installationsanweisungen.
Benutzer wurden angewiesen, einen Bash-Befehl im Terminal auszuführen, der zusätzliche Dateien von einem anderen GitHub-Repository herunterlud, das von den Angreifern kontrolliert wurde.
Die heruntergeladene Nutzlast installierte schließlich Atomic Stealer, eine macOS-Malware, die Informationen stiehlt und darauf abzielt, vertrauliche Daten von infizierten Computern zu extrahieren.
Windows-Installationsprogramme stellten mehrere Malware-Loader bereit
Windows-Benutzer stießen auf gefälschte Installationsprogramme wie OpenClaw_x64.exe, die mehrere schädliche ausführbare Dateien lieferten.
Bei vielen der Payloads handelte es sich um Rust-basierte Malware-Loader, die darauf ausgelegt waren, nach der Erstinfektion zusätzliche Malware bereitzustellen.
Die Forscher identifizierten zwei große Malware-Familien, die in der Kampagne verwendet wurden.
Eine davon war Vidar Infostealer, eine Malware zum Diebstahl von Anmeldeinformationen, die Befehls- und Kontrollanweisungen über Telegram-Kanäle und Steam-Profile abruft.
Das andere war GhostSocks, eine Backconnect-Proxy-Malware, die infizierte Systeme in Proxy-Knoten umwandelt, die Angreifer zum Weiterleiten von bösartigem Datenverkehr verwenden können.
Infizierte Maschinen könnten für Anmeldedatendiebstahl und Proxy-Netzwerke verwendet werden
Nach der Installation könnte die Malware es Angreifern ermöglichen, Anmeldeinformationen und andere vertrauliche Informationen von den Geräten der Opfer zu stehlen.
Kompromittierte Systeme könnten auch Betrugserkennungssysteme umgehen oder bösartigen Datenverkehr über den infizierten Computer leiten und so Angreifern dabei helfen, ihre Aktivitäten zu verbergen.
Die Forscher verfolgten mehrere an der Kampagne beteiligte GitHub-Konten und Repositories und meldeten sie an GitHub.
Der Vorfall verdeutlicht einen wachsenden Trend in der Cyberkriminalität, bei dem Angreifer vertrauenswürdige Plattformen und Tools nutzen, um Malware zu verbreiten.
Sicherheitsexperten empfehlen, Software nur von offiziellen Repositories oder verifizierten Projektseiten herunterzuladen und vertrauenswürdige Quellen mit Lesezeichen zu versehen, anstatt sich ausschließlich auf Suchergebnisse zu verlassen.
In anderen Cybersicherheitsnachrichten haben Forscher außerdem vor einer Phishing-Kampagne mit Google-Thema gewarnt, die derzeit im Internet kursiert und versucht, Kontodaten zu stehlen.
Über Bleeping Computer
*️⃣ Quelllink:
OAuth-Anwendungen für Phishing, Verbreitung von Malware mithilfe legitimer digitaler Zertifikate,
Huntress,
, Phishing-Kampagne mit Google-Thema,
Bleeping Computer ,