Eine Community aus Jugendlichen zwischen 11 und 18 Jahren nutzt Discord-Server als Diskussionsforum und Ort für den Verkauf und die Verbreitung von Malware-Familien wie „Lunar“, „Snatch“ und „Rift“ in einer typischen Betriebs-Malware als Dienst (Malware-as-a-Service). Die Entdeckung wurde heute von Avast bekannt gegeben. Laut einer Umfrage von Forschern des Unternehmens umfasst das Material Ransomware, Stealer und Cryptominer. Die Gruppe lockt junge Benutzer mit Werbung für den Zugriff auf verschiedene Malware-Erstellung und Toolkits, die für Laien zum einfachen Erstellen von Malware entwickelt wurden. In manchen Fällen muss man Zugang zum Tool kaufen, um der Gruppe beizutreten, in anderen Fällen kann man Mitglied der Gruppe werden, wo das Tool zu Preisen zwischen fünf und 25 Euro angeboten wird.
Jugendliche gaben in Gesprächen ihr Alter preis, diskutierten die Idee, Lehrer und Schulsysteme zu hacken, und erwähnten in Gesprächen ihre Eltern. In einer Discord-Gruppe, die sich auf den Verkauf von „Lunar“ konzentrierte, gab es über 1.500 Benutzer, von denen etwa 60–100 eine „Kunden“-Rolle hatten, was bedeutet, dass sie für das Malware-Building-Tool bezahlten. Die Preise für Malware-Erstellungstools unterscheiden sich je nach Kategorie und Zugriffsdauer.
„Diese Communities können für Kinder und Jugendliche attraktiv sein, da Hacking als Spaß angesehen wird, Malware-Autoren eine zugängliche und einfache Möglichkeit bieten, jemanden zu hacken und vor Kollegen zu prahlen, und sogar eine Möglichkeit, mit Ransomware Geld zu verdienen. , Kryptowährungs-Mining und den Verkauf von Benutzerdaten“, sagt Jan Holman, Malware-Forscher bei Avast. „Allerdings sind diese Aktivitäten alles andere als harmlos, sie sind kriminell. Sie können erhebliche persönliche und rechtliche Folgen haben, insbesondere wenn Kinder ihre eigene Identität oder die ihrer Familie preisgeben oder wenn gekaufte Malware tatsächlich die Computer der Opfer infiziert und die Geräte dieser Familien angreifbar macht. Ihre Daten, einschließlich Online-Konten und Bankdaten, können an Cyberkriminelle weitergegeben werden“, fügt Holman hinzu.
Nach dem Kauf und der Zusammenstellung ihres individuellen Malware-Samples verwenden einige Kunden YouTube, um es auf dem Markt zu verbreiten. Avast-Forscher haben gesehen, wie Kunden ein Video auf YouTube erstellt haben, das angeblich Informationen über ein gecracktes Spiel oder einen Cheat in einem Spiel zeigt, dessen Link sie an andere senden. Die URL führt jedoch tatsächlich zur Malware. Um Vertrauen in ihr Video zu schaffen, bitten sie andere Leute auf Discord, das Video zu liken und zu kommentieren, es zu unterstützen und es als echt zu zeigen. In einigen Fällen bitten sie sogar andere Personen, zu kommentieren, dass dies ein Fehlalarm ist, wenn die Antivirensoftware die Datei als bösartig erkennt.
Durch die Überwachung von Online-Communities stellte Avast fest, dass sich Gruppenmitglieder zwar bei Cyberkriminalität unterstützen, was teilweise als Witz, aber auch als Daten- und Gelddiebstahl angesehen wird, dass es aber auch zu Gesprächen kommt, die leicht recht turbulent werden können. Es gab eine beträchtliche Menge an Kämpfen, Instabilität und Mobbing unter den Benutzern, mit heftigem Wettbewerb, der bis zur Aneignung der Codebasis eines anderen und sogar zu Verleumdung ging.
Mit Malware-Erstellungstools können Benutzer bösartige Dateien erstellen, ohne etwas programmieren zu müssen. Normalerweise müssen Benutzer nur die Funktionen auswählen und Details wie das Symbol anpassen. Es gibt mehrere Malware-Familien, die mit diesen Tools erstellt wurden, und alle haben ähnliche Benutzeroberflächen mit leicht unterschiedlichen Layouts, Farbpaletten, Namen und Logos. Tools sind im Allgemeinen so konzipiert, dass sie kurzlebig sind, basierend auf einem gehosteten Quellcode von GitHub oder einem anderen Build-Tool, umbenannt mit einem neuen Logo und Namen, manchmal leicht optimiert oder mit neuen Funktionen modifiziert.
Avast hat Erkennungen erstellt, die Benutzer vor Samples schützen, die sich über Server verteilen, und hat Discord kontaktiert, um sie über diese Gruppen zu informieren. Discord bestätigte, dass sie Schritte unternehmen, um gegen diese Communities und gesperrten Server vorzugehen, die mit den Erkenntnissen von Avast in Verbindung stehen.
Quelle: CisoAdvisor
