Neue chinesche Hackergruppe PlushDaemon geht auf Beutezug
- Details
- Hauptkategorie: News Lexikon
- Kategorie: Computer und Telekomunikation NEWS
- Erstellt: Mittwoch, 22. Januar 2025 11:07
- Zuletzt aktualisiert: Donnerstag, 23. Januar 2025 11:08
- Veröffentlicht: Mittwoch, 22. Januar 2025 11:07
- Geschrieben von Super User
- Zugriffe: 2
Neue chinesche Hackergruppe PlushDaemon geht auf Beutezug
die Chinesische Hackergruppe PlushDaemon greift Privatnutzer und Unternehmen weltweit anJena (pts/22.01.2025/07:15)
Forscher des IT-Sicherheitsherstellers ESET haben eine bislang unbekannte Advanced Persistent Threat (APT)-Gruppe entdeckt: "PlushDaemon" steht in Verbindung mit China und ist seit mindestens 2019 aktiv. Die Hacker führen mit ihrem Hacking-Tool "SlowStepper" ausgeklügelte Cyberspionage-Angriffe auf Windows-Computer durch. Bei ihren Angriffen erbeuteten sie wertvolle Informationen von Privatpersonen und Unternehmen in Ostasien, den USA und Neuseeland.Schadsoftware kommt als Trittbrettfahrer ins System
PlushDaemon bedient sich verschiedener fieser Tricks, um an Daten zu gelangen. So manipulieren die Hacker legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf eigene Server umleiten. Die Folge: Nutzer, die ein Update für ihre App herunterladen wollen, erhalten stattdessen die eigens von PlushDaemon erstellten Backdoor SlowStepper. Dabei handelt es sich um eine äußerst vielseitige digitale Hintertür zu den Computern der Betroffenen. Einmal auf einem Gerät aktiv, sammelt sie eine Vielzahl von Daten. Sie kann Informationen aus Webbrowsern abgreifen, Fotos machen und nach Dokumenten suchen. Darüber hinaus sammelt er Daten aus verschiedenen Anwendungen wie Messaging-Apps und stiehlt Passwortinformationen.
"Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist", warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. "Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher."
VPN-Nutzer in Südkorea waren betroffen und wussten nichts davon
Eine weitere Angriffsmethode betrifft Nutzer des in Südkorea beliebten VPN-Dienstes IPany: Die Hackergruppe ersetzte die reguläre Installationsdatei auf der Website des Anbieters durch ein neues Datenpaket. Dieses enthielt neben den legitimen Installationsdateien wiederum die Hintertür.
"Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte", erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. "Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt."
Wie es den Hackern gelang, ihr schadhaftes Installationspaket auf die Seite des Anbieters zu bringen, ist bisher nicht bekannt.
Weitere Informationen gibt es im aktuellen Blogpost (https://www.welivesecurity.com/de/eset-research/angriff-der-pluschdamonen)"Angriff der Plüschdämonen" auf Welivesecurity.com.
Aussender: ESET Deutschland GmbH
Ansprechpartner: Philipp Plum
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +49 (0) 3641-3114-141
Website: www.eset.de
© pressetext.deutschland +++ pressetext.austria +++ pressetext.schweiz +++ termindienst +++ fotodienst +++ newsfox.com und der jeweilige Aussender
http://www.pressetext.com/news/20250122005pts20250122005
Forschung/Entwicklung, Technologie/Digitalisierung
Medieninhaber und Herausgeber:
pressetext Nachrichtenagentur GmbH, Josefstädter Straße 44, A-1080 Wien
pressetext ist reichweitenstärkster Nachrichtenverbreiter für Entscheider und Journalisten in der DACH-Region. Die inhaltliche Verantwortung für redaktionelle Meldungen (pte) liegt bei pressetext, für Pressemitteilungen (pts) und Kapitalmarktmitteilungen börsennotierter Unternehmen (pta) beim jeweiligen Aussender. Die Nachrichten werden auf den pressetext-Länderplattformen publiziert und je nach Abonnement-Profil und gewählter Zustellart einzeln oder täglich als Newsletter an die Abonnenten verschickt. Weitere Informationen erhalten Sie bei unserem Redaktionsservice unter Tel. +43-1-81140-300.