Thought Leadership
Einem Team von CloudSEK-Sicherheitsforschern ist es gelungen, eine seit mindestens fünf Jahren operierende Hackergruppe zu identifizieren und ihre Aktivitäten umfassend zu dokumentieren. Bei den Betreibern handelt es sich offenbar um eine Familie aus Pakistan, die ein ausgeklügeltes System zur Malware-Verbreitung aufgebaut hatte.
Systematischer Angriff auf Software-Piraten
Die Cyberkriminellen konzentrierten sich auf eine spezielle Zielgruppe: Nutzer, die nach kostenfreien oder illegal kopierten Versionen kommerzieller Software suchten. Durch gezielte Suchmaschinenoptimierung und strategisch platzierte Beiträge in Foren sowie legitimen Online-Communities lenkten sie Traffic auf ihre kompromittierten Webseiten.
Dort fanden Besucher scheinbar harmlose Downloads populärer Anwendungen wie Adobe After Effects. Tatsächlich installierten die ahnungslosen Nutzer jedoch verschiedene Infostealer-Varianten – darunter Lumma, AMOS und Meta. Diese Schadprogramme extrahieren systematisch sensible Informationen wie Zugangsdaten, Browser-Verläufe und Kryptowährungs-Wallet-Daten.
Infrastruktur mit beeindruckenden Zahlen
Die Analyse offenbarte das wahre Ausmaß der Operation: Das Netzwerk generierte 449 Millionen Klicks und führte zu über 1,88 Millionen erfolgreichen Malware-Installationen. Die Hintermänner erzielten dadurch Einnahmen von geschätzten 4,67 Millionen US-Dollar.
Weltweit sollen mehr als 10 Millionen Personen von den Aktivitäten betroffen sein. Die erbeuteten Datensätze wurden für etwa 0,47 US-Dollar pro Stück weiterverkauft.
Pay-Per-Install-Netzwerk als Geschäftsmodell
Das kriminelle Unternehmen basierte auf zwei miteinander verbundenen Pay-Per-Install-Plattformen: InstallBank und SpaxMedia/Installstera. Über diese Systeme verwalteten die Betreiber ein Netzwerk von 5.239 Partnern, die für jede erfolgreiche Malware-Installation vergütet wurden.
CloudSEK lokalisierte die Drahtzieher in den pakistanischen Städten Bahawalpur und Faisalabad. Ungewöhnlich für solche Operationen nutzten sie etablierte Finanzdienstleister wie Payoneer für ihre Transaktionen. Der gemeinsame Nachname der Betreiber deutet auf familiäre Verbindungen hin.
Aufklärung durch Eigentor
Den entscheidenden Durchbruch bei den Ermittlungen brachte ein ironischer Zufall: Die Cyberkriminellen infizierten sich selbst mit einem ihrer Infostealer. Dadurch erhielten die CloudSEK-Experten Zugriff auf interne Logs mit detaillierten Finanzunterlagen, Kommunikationsverläufen und Administrator-Credentials.
Diese umfangreichen Beweise ermöglichten es, die gesamte Struktur des Netzwerks zu rekonstruieren und die Verantwortlichen zu identifizieren.
(lb/8com)
