Schadsoftware kommt als Trittbrettfahrer ins System
PlushDaemon bedient sich verschiedener fieser Tricks, um an Daten zu gelangen. So manipulieren die Hacker legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf eigene Server umleiten. Die Folge: Nutzer, die ein Update für ihre App herunterladen wollen, erhalten stattdessen die eigens von PlushDaemon erstellten Backdoor SlowStepper. Dabei handelt es sich um eine äußerst vielseitige digitale Hintertür zu den Computern der Betroffenen. Einmal auf einem Gerät aktiv, sammelt sie eine Vielzahl von Daten. Sie kann Informationen aus Webbrowsern abgreifen, Fotos machen und nach Dokumenten suchen. Darüber hinaus sammelt er Daten aus verschiedenen Anwendungen wie Messaging-Apps und stiehlt Passwortinformationen.
„Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist“, warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. „Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher.“
VPN-Nutzer in Südkorea waren betroffen und wussten nichts davon
Eine weitere Angriffsmethode betrifft Nutzer des in Südkorea beliebten VPN-Dienstes IPany: Die Hackergruppe ersetzte die reguläre Installationsdatei auf der Website des Anbieters durch ein neues Datenpaket. Dieses enthielt neben den legitimen Installationsdateien wiederum die Hintertür.
„Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte“, erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. „Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt.“
Wie es den Hackern gelang, ihr schadhaftes Installationspaket auf die Seite des Anbieters zu bringen, ist bisher nicht bekannt.
Neueste Kommentare
Noch keine Kommentare zu Chinesische Hackergruppe PlushDaemon geht auf Beutezug
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.