Cyberkriminelle suchen sich die effizientesten Wege, um ihre Malware mit hoher Reichweite zu verbreiten. Ein Beispiel sind die jüngsten Lockangebote mit kostenlosen Premium Apps der Kryptobörse TradingView, für die Bitdefender nun eine ausführliche Analyse vorgelegt hat. Die Kampagnenurheber lenken dabei ihre Opfer mit Google Ads auf einen vermeintlichen YouTube-Kanal der Kryptoplattform.
Lockvogel ist dabei ein vermeintliches und kostenloses Angebot der TradingView-Premium-App. Plattformübergreifend agieren die Urheber auf Windows, macOS und Android. Ziel der Kriminellen ist der Klick der Opfer auf eine Malware-infizierte Seite.
Cyberkriminelle können dabei je nach Opfer und mit Anti-Sandboxing-Technologie entscheiden, ob sie Online-Auftritte mit Malware anzeigen oder Entdeckung und Aufmerksamkeit vermeiden, indem sie auf harmlose Webseiten weiterverlinken.
Hinter den Angeboten zu einem vermeintlich kostenlosen Zugang auf die TradingView- Premium-App lauert Malware, um Zugangsdaten und damit auch weitere Nutzerkonten zu übernehmen, sensible Daten zu stehlen und Kryptowährungen zu rauben. Die aktuellen Kampagnen erstrecken sich über 500 Domänen und Subdomänen in Englisch, Vietnamesisch und Thai.
Nach Download der Malware können Angreifer den gesamten Datenverkehr im Opfernetzwerk abfangen, Cookies und Passworte sammeln, Screenshots aufnehmen, Tastaturangaben aufzeichnen, Kryptogeld aus einer Wallet stehlen und sich bleibenden Zugang zum Netz verschaffen.
Die Attacken sind die Fortsetzung einer zuletzt von den Bitdefender Labs analysierten Kampagne, welche den Remote-Acess-Trojaner (RAT) Brokewell über Krypto-Adds in Facebook auch auf Android verbreitete.
Aufmerksamkeit und Entdeckung vermeiden
Auf einem kompromittierten YouTube-Kanal nutzen die Angreifer das Branding des offiziellen TradingView-YouTube-Kanals und spiegeln Playlisten des offiziellen Auftritts. Sie verwenden Branding-Elemente des echten Auftritts und ersetzen Playlists und Videos durch ihre eigenen Inhalte. Über diese lenken sie die Interessenten an der Kryptowährungsplattform zur Seite mit dem Malware-Download.
Warnsignale für die Kompromittierung sind ein abweichender YouTube Channel Handle, das gänzliche Fehlen originärer Inhalte sowie eine ausschließliche Verwendung nicht in YouTube gelisteter Videos, die allein durch bezahlte Platzierungen erreichbar sind. Suchmaschinen finden solche Videos nicht und entziehen sich damit Berichten oder einer Moderation auf der Plattform.
Die Angreifer präsentieren den Opfern auch harmlose Webseiten, wenn Ihnen ein Ziel nicht lukrativ erscheint oder sie durch erkannte Analysemethoden der Opfercyberabwehr wie Sandboxing eine Entdeckung befürchten.
Alarmzeichen für TradingView-Interessenten
Besucher von YouTube-Accounts sollten den Channel Handle und die Angaben zur Abonnentenzahl überprüfen. Sehr niedrige Zahlen für bekannte Angebote sollten Verdacht erregen. Ungelistete Videos sind ein Alarmzeichen, weil Unternehmen selten ihre Kampagnen lediglich mit ungelisteten Anzeigen fahren. Software sollte nur von offiziellen Webseiten heruntergeladen werden, nie über Links von Dritten.
In unklaren Fällen kann man auch die kostenlosen Betrugserkennungstools von Bitdefender wie den KI-gestützten Betrugserkennungs-Chatbot Scamio zu Rate ziehen oder verdächtige Links mit dem Bitdefender Link Checker scannen.
Schutzmaßnahmen für Content Creator und YouTube-Channel-Betreiber
Creatoren und Unternehmen sollten ihre Online-Konten und Auftritte in sozialen Medien mit einer strengen Multi-Faktor-Authentifizierung schützen. Regelmäßig sollten sie die Rollen und Rechte für den Audit eines Channels überprüfen und inaktiven Managern ihre Rechte entziehen.
Ungewöhnliche Aktivitäten wie der plötzliche Austausch digitaler Branding-Komponenten oder Video-Uploads sind als Warnzeichen für eine Kompromittierung eines Nutzerkontos zu beachten. Wichtig sind auch stets aktuelle E-Mail-Adressen oder Telefonnummern für einen Backup.
Eine Sicherheitslösung für Creator wie Bitdefender Security for Creators bietet den Schutz vor Account-Übernahme sowie Phishing und überwacht Nutzerkonten auf YouTube, Facebook und Instagram.