PlushDaemon bedient sich verschiedener fieser Tricks, um an Daten zu gelangen. So manipulieren die Hacker legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf eigene Server umleiten. Die Folge: Nutzer, die ein Update für ihre App herunterladen wollen, erhalten stattdessen die eigens von PlushDaemon erstellten Backdoor SlowStepper. Dabei handelt es sich um eine äußerst vielseitige digitale Hintertür zu den Computern der Betroffenen. Einmal auf einem Gerät aktiv, sammelt sie eine Vielzahl von Daten. Sie kann Informationen aus Webbrowsern abgreifen, Fotos machen und nach Dokumenten suchen. Darüber hinaus sammelt er Daten aus verschiedenen Anwendungen wie Messaging-Apps und stiehlt Passwortinformationen.
„Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist“, warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. „Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher.“
Eine weitere Angriffsmethode betrifft Nutzer des in Südkorea beliebten VPN-Dienstes IPany: Die Hackergruppe ersetzte die reguläre Installationsdatei auf der Website des Anbieters durch ein neues Datenpaket. Dieses enthielt neben den legitimen Installationsdateien wiederum die Hintertür.
„Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte“, erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. „Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt.“
Wie es den Hackern gelang, ihr schadhaftes Installationspaket auf die Seite des Anbieters zu bringen, ist bisher nicht bekannt.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.
Kommentare