TikTok-Likes als Köder

Kriminelle fluten Open-Source-Plattformen mit Phishing-Paketen

Uhr
von Maximilian Schenner und yzu

Eine Phishing-Gruppe soll über 144’000 bösartige Pakete auf Open-Source-Plattformen deponiert haben. Der Grossteil davon landete auf dem Paketmanager NuGet. Die Kriminellen lockten unter anderem mit Game-Cheats und Social-Media-Likes.

(Source: Andreus / iStockphoto.com)
(Source: Andreus / iStockphoto.com)

Eine Gruppe von Kriminellen hat in einer gross angelegten Kampagne über 144’000 bösartige Pakete auf Open-Source-Plattformen platziert. Die Phishing-Bande verteilte die Pakete auf drei verschiedene Plattformen, wie "Info Security Magazine" in Bezug auf den Security-Anbieter Checkmarx schreibt. Letztere Firma habe zusammen mit dem Anbieter Illustria 135’00 solcher Pakete auf der Plattform "NuGet" entdeckt, allesamt vom selben Akteur. Weitere 7824 Pakete seien auf "PyPi" gelandet, 212 auf "NPM".

Game-Cheats und TikTok-Likes als Köder

Die Pakete enthielten gemäss dem Bericht Phishing-Links, die vor allem darauf abzielten, E-Mail-Adresse, Passwörter und Benutzernamen der Opfer für verschiedene Seiten zu ergaunern. Andere hätten die Opfer auch auf legitime Websites geleitet, etwa zum E-Commerce-Händler AliExpress, wodurch die Verbrecher Vermittlungsgebühren einstreichen. Die Botschaften in den Paketen hätten mit Cheats und Ressourcen für Videospiele, aber auch mehr Follower und Likes für Social-Media-Plattformen wie Instagram oder TikTok gelockt.

"Die Phishing-Kampagne verlinkte auf über 65.000 einzigartige URLs auf 90 Domains, wobei jede Domain mehrere Phishing-Webseiten unter verschiedenen Pfaden hostet", wird Checkmarx zitiert. "Die betrügerischen Webseiten sind gut gestaltet und enthalten in einigen Fällen sogar gefälschte interaktive Chats, die zu zeigen scheinen, dass die Nutzer die versprochenen Cheats oder Follower erhalten."

Hoher Automatisierungsgrad als Schlüssel

Laut Checkmarx habe die Gruppe die Suchmaschinenoptimierung (SEO) ihrer eigenen Phishing-Seiten verbessern wollen, indem sie sie mit legitimen Seiten, eben NuGet und Co., verknüpften. Ein hoher Automatisierungsgrad sei dabei entscheidend gewesen: "Dies ermöglichte es ihnen, eine grosse Anzahl von Paketen in kurzer Zeit zu veröffentlichen, was es den verschiedenen Sicherheitsteams erschwerte, die Pakete schnell zu identifizieren und zu entfernen", wird zitiert "Info Security Magazine" den Sicherheitsanbieter weiter.

Ausserdem hätten die Angreifenden dadurch eine Vielzahl an Benutzerkonten erstellen können, was die Rückverfolgung der Angriffsquelle erschwert habe. "Dies zeigt die Raffinesse und Entschlossenheit dieser Angreifer", schreibt Checkmarx. Die Pakete seien inzwischen zwar aus den Suchergebnissen von NuGet entfernt worden, seien aber immer noch auf der Website verfügbar.

In der Schweiz versuchen Cyberkriminelle derzeit mit dem Vorwand einer angeblichen Steuerrückerstattung Kreditkartendaten zu phishen. Dabei nutzen Sie Logos der Bundesverwaltung, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
WkLoFKWy

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter