Infostealer – gegen Hackergruppen wie Marko Polo hilft nur eines: mehr Sicherheitstrainings

Um die Erfolgschancen ihrer Angriffe zu erhöhen, optimieren Cyberkriminelle fortlaufend ihre Angriffsvektoren. Sie werden komplexer, vielschichtiger und individueller. Eine Gruppe Cyberkrimineller, die sich in diesem Zusammenhang seit einiger Zeit besonders hervortut: Marko Polo. Seit 2022 ist die Gruppe aktiv – weltweit. Mit immer zielgerichteteren Angriffen. Ihr präferiertes Tool: Infostealer.

Cyberkriminelle nutzen Infostealer-Malware, um von ihren Opfern persönliche Daten – etwa Browser-Cookies, Passwörter und Bankdaten – zu entwenden. Auf die Rechner ihrer Opfer gelangt die Malware dabei meist über schädliche Anhänge und Links in Fake-E-Mails und Fake-Webseiten.

Experten der Insikt Group von Recorded Futures haben die Aktivitäten von Marko Polo kürzlich einmal genauer untersucht und in einem Report, samt Whitepaper, ausgewertet. Quanti- und Qualität der Angriffsvektoren der Gruppe stufen sie als „beeindruckend“ ein. Zahntausende Infizierungen weltweit und Schäden im Umfang von umgerechnet mehreren Millionen Euro, so die Cyberexperten, gehen mittlerweile auf das Konto der Cyberkriminellen.

Ihre präferierten Opfer sind in aller Regel Kryptowährungs-Influencer, Online-Gamer und Software-Entwickler – Personen also, bei denen die Wahrscheinlichkeit hoch ist, dass sie häufiger mit hochwertigen Daten und Vermögenswerten zusammenkommen. Der Ansatz von Marko Polo: die Gruppe gibt sich als eine beliebte Marke im Online-Gaming-, im Konferenzsoftware- oder auch im Kryptowährungsbereich aus. Beliebte Tarnidentitäten sind etwa Fortnite und Party Icon im Gaming-Bereich, Zoom im Videokonferenzbereich und PeerMe im Kryptowährungsbereich. Hinzu kommt eine ganze Reihe eigener Tarnmarken, die sich die Cyberkriminellen selbst ausgedacht haben, wie NightVerse im Gaming-Bereich, Vortax/Vorion und VDeck im Konferenzsoftwarebereich und SpectraRoom im Kryptokommunikationsbereich.

Getarnt als Mitarbeiter eines dieser Unternehmen kontaktieren sie dann ihre Opfer, machen tolle Jobangebote oder schlagen lukrative Partnerschaften und Deals vor. Fallen ihre Opfer auf ihre Angebote herein – klicken sie auf Anhänge und Links in Emails, besuchen sie Fake-Websites für virtuelle Meeting-, Messaging- oder Spieleanwendungen – installieren sie ohne ihr Wissen Infostealer, wie HijackLoader, Stealc, Rhadamanthys und AMOS, die dann damit beginnen, ihre Daten abzugreifen und den Cyberkriminellen zuzuführen.

50 einzigartige Malware-Nutzlasten hat die Insikt Group im Laufe ihrer Recherchen aufdecken können. Dies zeigt, dass Marko Polo in der Lage ist, sich weiterzuentwickeln, Operationen schnell zu skalieren. Den Insikt-Sicherheitsforschern zufolge dürfte es weltweit tausende Opfer geben – mit Verlusten in Millionenhöhe.

Um gegen solche und ähnlich gelagerte Angriffe vorzugehen, um sich effektiv zu schützen, ist eine aktive Präventionsstrategie unerlässlich. Die Insikt Group-Experten raten Unternehmen zu mehr Endpunktschutz, Webfilterung, Netzwerksegmentierung und Reaktionsplänen für Zwischenfälle. Darüber hinaus aber auch: zu einem Ausbau der Schulungen des Sicherheitsbewusstseins. Kontinuierlich müssen sie Programme zur Sensibilisierung für Cybersicherheitsrisiken durchführen, auch Phishing- und Social-Engineering-Risiken berücksichtigen.

Dem kann hier nur zugestimmt werden. Der Umstand, dass die Cyberkriminellen von Marko Polo sich gerade in derjenigen Internetnutzergruppe ihre Opfer suchen, die eigentlich am besten wissen sollte, wie man Phishing, Spear Phishing und Social Engineering erkennt und begegnet, sollte Unternehmen zu denken geben. Selbst hier scheint das Cybersicherheitsbewusstsein immer noch stark ausbaufähig zu sein. Nur mit einem mehr an Fortbildungen und Trainings zur Anhebung von Sicherheitskultur und Sicherheitsbewusstsein wird es gelingen, den Risikoherd Infostealer in den Griff zu bekommen.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4