ForceCopy Stealer: Die hinterhältige Bedrohung, die es auf Webbrowser-Daten abgesehen hat

Ein neues Tool im Arsenal einer berüchtigten Hackergruppe

Cybersicherheitsexperten haben eine hochentwickelte Cyberbedrohung namens ForceCopy Stealer entdeckt, ein Tool zur Informationsbeschaffung, das für gezielte Angriffe eingesetzt wird. Dieser Stealer ist mit Kimsuky verknüpft, einer gut dokumentierten Hackergruppe, die vermutlich mit den nordkoreanischen Geheimdiensten in Verbindung steht. Aktuelle Berichte deuten darauf hin, dass Kimsuky Phishing-Techniken nutzt, um ForceCopy Stealer zu verbreiten, wobei es darauf ankommt, vertrauliche Benutzerdaten zu erhalten, die in Webbrowsern gespeichert sind.

So setzen Angreifer forceCopy Stealer ein

Die Übermittlungsmethode von forceCopy Stealer basiert auf betrügerischen E-Mails, die so gestaltet sind, dass sie legitim erscheinen. Diese E-Mails enthalten normalerweise einen Anhang, der als Microsoft Office- oder PDF-Dokument getarnt ist, in Wirklichkeit jedoch eine Windows-Verknüpfungsdatei (LNK) ist. Sobald der Empfänger die Datei öffnet, aktiviert sie bösartige Skripte über PowerShell oder mshta.exe von Microsoft – beides legitime Systemtools, die häufig für nicht autorisierte Zwecke missbraucht werden.

Nach der Ausführung dieser Skripte werden zusätzliche Payloads aus einer externen Quelle abgerufen. Die Angreifer setzen dann neben forceCopy Stealer weitere Tools ein, darunter einen bekannten Trojaner namens PEBBLEDASH und eine modifizierte Version eines Open-Source-Remote-Desktop-Dienstprogramms namens RDP Wrapper. Diese Komponenten arbeiten zusammen, um langfristigen Zugriff auf kompromittierte Systeme zu gewährleisten.

Die Kernfunktion von forceCopy Stealer

ForceCopy Stealer ist im Kern darauf ausgelegt, Daten aus bestimmten, mit Webbrowsern verbundenen Speicherorten zu extrahieren. Das Hauptziel scheinen Browserkonfigurationsdateien zu sein, die möglicherweise gespeicherte Anmeldeinformationen enthalten. Indem sich das Tool auf diese Verzeichnisse konzentriert, umgeht es bestimmte Sicherheitsbeschränkungen, die vor herkömmlichen Techniken zum Diebstahl von Anmeldeinformationen schützen. Da Webbrowser häufig Passwörter und andere vertrauliche Informationen zur Benutzerfreundlichkeit speichern, könnte ein Angreifer mit Zugriff auf diese Dateien möglicherweise Anmeldedaten für verschiedene Onlinedienste abrufen.

Auswirkungen der Aktivitäten von ForceCopy-Dieben

Der Einsatz von ForceCopy Stealer gibt Anlass zu Bedenken hinsichtlich der weitreichenden Auswirkungen auf die Cybersicherheit. Die gestohlenen Browserdaten könnten auf verschiedene Weise ausgenutzt werden, darunter unbefugter Zugriff auf Konten, Identitätsbetrug oder weitere gezielte Angriffe. Da der Stealer außerdem zusammen mit anderen bösartigen Tools wie Keyloggern und proxybasierten Kommunikationssystemen verwendet wird, können betroffene Einzelpersonen oder Organisationen langfristigen Sicherheitsrisiken ausgesetzt sein.

Eine bemerkenswerte Änderung in Kimsukys Taktik ist die Verwendung von Tools wie RDP Wrapper und Proxy-Malware, die es Angreifern ermöglichen, dauerhaften Zugriff auf kompromittierte Rechner zu behalten. Dies stellt eine Weiterentwicklung ihrer Methoden dar: Sie entfernen sich von früher verwendeten Hintertüren zugunsten eines modulareren und anpassungsfähigeren Ansatzes.

Eine anhaltende und sich entwickelnde Bedrohung

Kimsuky, auch bekannt unter Pseudonymen wie APT43 und Emerald Sleet, ist seit über einem Jahrzehnt aktiv. Sie nutzen häufig Social-Engineering-Taktiken, um Sicherheitsmaßnahmen zu umgehen. Ihre Fähigkeit, Phishing-Kampagnen maßzuschneidern und legitime Tools für böswillige Zwecke zu missbrauchen, hat sie zu einer ständigen Bedrohung in der Cybersicherheitslandschaft gemacht.

Aktuelle Erkenntnisse deuten darauf hin, dass die Gruppe ihre Methoden weiter verfeinert. ForceCopy Stealer ist die neueste Ergänzung ihres Arsenals. Der Schwerpunkt auf dem Diebstahl von Browserdaten zeigt ein anhaltendes Interesse an Anmeldeinformationen, möglicherweise für Spionagezwecke oder finanzielle Zwecke. Diese Entwicklung unterstreicht die Notwendigkeit, dass Benutzer gegenüber Phishing-Versuchen und unbefugtem Datenzugriff wachsam bleiben müssen.

Stärkung der Abwehrmaßnahmen gegen Browser-Datendiebstahl

Angesichts der zunehmenden Nutzung browserbasierter Anmeldeinformationsspeicher ist es wichtig, Schutzmaßnahmen gegen Bedrohungen wie ForceCopy Stealer zu implementieren. Benutzer sollten beim Umgang mit E-Mail-Anhängen vorsichtig sein, insbesondere bei solchen aus unbekannten Quellen. Unternehmen sollten ihre E-Mail-Sicherheitsprotokolle verstärken und auf verdächtige Aktivitäten achten, die auf unbefugte Fernzugriffsversuche hinweisen können.

Wenn jeder versteht, wie ForceCopy Stealer vorgeht und welche Taktiken Gruppen wie Kimsuky anwenden, kann er proaktiv Schritte unternehmen, um seine digitalen Assets zu schützen und das Risiko solcher Cyber-Bedrohungen zu verringern.