ClickCease Deepfakes Malware-Angriffe: Die fortschrittlichen Taktiken von GoldFactory

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Deepfakes Malware-Angriffe: Die fortgeschrittenen Taktiken von GoldFactory

Wajahat Raja

1. März 2024. TuxCare-Expertenteam

In der sich ständig weiterentwickelnden Landschaft der mobilen Deepfakes-Malware-Angriffeist ein berüchtigter Bedrohungsakteur namens GoldFactory aufgetaucht, der eine Spur hochentwickelter Banking-Trojaner hinterlässt. Die Gruppe, die seit mindestens Mitte 2023 aktiv ist, ist für ihre fortschrittlichen Techniken bekannt geworden, insbesondere für die Einführung einer bisher nicht dokumentierten iOS-Malware namens GoldPickaxe.

Diese bösartige Software geht über typische Exploits hinaus und ist in der Lage, sensible Daten wie Identitätsdokumente, Gesichtserkennungsdaten und das Abfangen von SMS-Nachrichten auszuspähen. Das Verständnis der komplizierten Beziehung zwischen Deepfakes und Malware-Techniken ist wichtig, um die wachsende Bedrohungslandschaft der Cyberangriffe zu entschärfen.

In diesem Blog tauchen wir in die Welt der Cybersicherheit ein und beleuchten die wachsende Bedrohung durch Deepfakes-Malware-Angriffen und ihre Auswirkungen auf die Online-Sicherheit und den Datenschutz.

 

GoldPickaxe: Eine plattformübergreifende Bedrohung


GoldPickaxe, Teil des GoldFactory-Arsenals, ist eine vielseitige Bedrohung, die sowohl iOS- als auch Android-Plattformen angreift. Laut einem
umfassenden Bericht der in Singapur ansässigen Group-IB handelt es sich bei GoldFactory um eine gut organisierte chinesischsprachige Cybercrime-Gruppe mit engen Verbindungen zu Gigabud.

Zur Malware-Familie gehören GoldDigger, GoldDiggerPlus und GoldKefu, die jeweils eine bestimmte Rolle in den ausgeklügelten Plänen der Gruppe spielen. Die Social-Engineering-Kampagnen von GoldFactory zielen strategisch auf den asiatisch-pazifischen Raum ab und konzentrieren sich insbesondere auf Länder wie Thailand und Vietnam. 

Die Angreifer wenden betrügerische Taktiken an und geben sich als lokale Banken und Regierungsorganisationen aus, um ihre Opfer zu ködern. Zu den wichtigsten Vektoren gehören Smishing- und Phishing-Nachrichtendie die Opfer dazu bringen, ihre Kommunikation auf Instant-Messaging-Anwendungen wie LINE zu verlagern.

Anschließend werden die Opfer dazu verleitet, auf betrügerische URLs zu klicken, die die Installation von GoldPickaxe auf ihren Geräten einleiten.


Deepfakes Malware-Angriffe entschlüsselt


Für Android-Nutzer werden bösartige Apps oft auf gefälschten Websites gehostet, die den Seiten des Google Play Store oder gefälschten Unternehmenswebsites ähneln. GoldPickaxe für iOS hingegen verfolgt einen anderen Ansatz und nutzt die TestFlight-Plattform von Apple sowie gefälschte URLs. 

Über diese URLs werden die Benutzer aufgefordert, ein MDM-Profil (Mobile Device Management) herunterzuladen, das ihnen die vollständige Kontrolle über iOS-Geräte für die Installation der schädlichen App gewährt. Die Raffinesse von GoldPickaxe zeigt sich in seiner Fähigkeit, die von Thailand auferlegten Sicherheitsmaßnahmen zu umgehen. 

Als Reaktion auf die Gesichtserkennungsanforderungen für größere Transaktionen fordert die Malware die Opfer auf, innerhalb der gefälschten Anwendung ein Video aufzunehmen. Dieses aufgezeichnete Video dient als Rohmaterial für die Erstellung von Deepfake-Videos, die mit Hilfe von Diensten der künstlichen Intelligenz, die Gesichter austauschen, durchgeführt werden.

 

Dual-Platform-Fähigkeiten und Informationsbeschaffung


Sowohl die Android- als auch die iOS-Variante von GoldPickaxe sind in der Lage, eine breite Palette sensibler Informationen zu sammeln, darunter Ausweisdokumente, Fotos, abgefangene SMS-Nachrichten und Proxy-Datenverkehr über kompromittierte Geräte. Insbesondere die iOS-Variante weist aufgrund der geschlossenen Natur des iOS-Betriebssystems und seiner strengen Berechtigungen weniger Funktionalitäten auf.


GoldDigger und seine Entwicklung


GoldDigger, eine weitere Kreation von GoldFactory, weist auf Code-Ebene Ähnlichkeiten mit GoldPickaxe auf. Während sich GoldDigger in erster Linie auf den Diebstahl von Bankdaten konzentriert, ist GoldPickaxe darauf ausgerichtet, persönliche Informationen der Opfer zu sammeln. 

Die Android-Version von GoldDigger, die als evolutionärer Nachfolger von GoldDiggerPlus gilt, gibt sich als verschiedene Anwendungen der thailändischen Regierung, des Finanzsektors und von Versorgungsunternehmen aus, um Anmeldedaten zu stehlen.

 

Deepfakes und Finanzbetrug


GoldDigger zeichnet sich durch die Ausnutzung der Zugänglichkeitsdienste von Android aus, die es ihm ermöglichen, Tastatureingaben zu protokollieren und Bildschirminhalte zu extrahieren. Er zielt auf über 50 Anwendungen vietnamesischer Finanzunternehmen ab und speichert angezeigten oder geschriebenen Text auf der Benutzeroberfläche, einschließlich Passwörter. Die Basisversion von GoldDigger, entdeckt im
Juni 2023Die Basisversion von GoldDigger, die im Juni 2023 entdeckt wurde, hat den Weg für aktualisierte Varianten wie GoldDiggerPlus geebnet, die eine weitere Trojaner-Komponente namens GoldKefu einbetten.


GoldKefu's betrügerische Taktiken


Die betrügerische Taktik von GoldKefu Integriert in das Agora Software Development Kit (SDK), ermöglicht GoldKefu interaktive Video- und Sprachanrufe, die seine Funktionalität erweitern. Er bringt seine Opfer dazu, einen gefälschten Bank-Kundendienst zu kontaktieren, indem er gefälschte Benachrichtigungen sendet, die ein falsches Gefühl von Dringlichkeit bezüglich einer fiktiven Geldüberweisung vermitteln. Der Android-Trojaner verwendet gefälschte Overlays, um Anmeldeinformationen zu sammeln, wenn die zuletzt geöffnete Anwendung zur Zielliste gehört.


Eine ständige Herausforderung für mobile Malware


Diese Entwicklung unterstreicht die anhaltende Bedrohung in der mobilen Malware-Landschaft. Cyberkriminelle wie GoldFactory finden immer wieder Wege, um die von den Banken errichteten Abwehrmaßnahmen zu umgehen, um solche
Cybersicherheitsbedrohungen durch Deepfakes. Die dynamische Natur von Social-Engineering-Methoden macht die Herausforderung noch größer und zeigt, dass ständige Wachsamkeit erforderlich ist.


Entschärfung von Deepfakes-Malware-Angriffen


Bankensicherheit und Deepfakes
überschneiden sich in der sich entwickelnden Landschaft der Cybersicherheit und stellen Finanzinstitute und Nutzer gleichermaßen vor neue Herausforderungen. Um die Risiken der Deepfakes-Malware-Attacken von GoldFactory und seiner Suite mobiler Banking-Malware zu minimieren, wird den Nutzern dringend empfohlen, nicht auf verdächtige Links zu klicken.

Außerdem sollten sie darauf verzichten, Apps von nicht vertrauenswürdigen Websites zu installieren, die häufig als Vektoren für Malware dienen. Darüber hinaus ist die regelmäßige Überprüfung der App-Berechtigungen, insbesondere derjenigen, die die Zugänglichkeitsdienste von Android anfordern, für die Aufrechterhaltung der Sicherheit entscheidend.


Ein einfallsreicher und anpassungsfähiger Widersacher


Da Cyberkriminelle immer geschickter darin werden, ihre Aktivitäten zu verbergen, wird es immer schwieriger, Deepfakes in
Erkennung von Deepfakes in Malware wird immer komplexer. GoldFactory entpuppt sich als einfallsreicher und anpassungsfähiger Gegner, der sich in verschiedenen Taktiken auskennt, darunter Imitation, Keylogging von Zugangsdaten, gefälschte Bankwebseiten, gefälschte Bankwarnungen, gefälschte Anrufbildschirme und die Sammlung von Identitäts- und Gesichtserkennungsdaten.

Die gut definierten Prozesse und die betriebliche Reife der Gruppe sowie die ständige Weiterentwicklung ihrer Tools zeugen von einer hohen Kompetenz bei der Entwicklung von Malware. Die Verhinderung von Malware mit Deepfakes erfordert einen vielschichtigen Ansatz, der fortschrittliche Erkennungstechniken mit proaktiven Sicherheitsmaßnahmen kombiniert.


Schlussfolgerung


Das Auftauchen ausgeklügelter Cyber-Bedrohungen, wie z. B.
Banking-Trojaner und Deepfakes-Malware-Angriffeunterstreicht den dringenden Bedarf an verbesserten Cybersicherheitsmaßnahmen. Da Cyberkriminelle weiterhin innovativ und anpassungsfähig sind, müssen Einzelpersonen und Unternehmen der Entwicklung unbedingt einen Schritt voraus sein.

Durch das Verständnis der Taktiken von Bedrohungsakteuren wie GoldFactory und die Implementierung robuste Sicherheitsmaßnahmenkönnen wir gemeinsam die Cybersicherheitsrisiken durch Deepfakes und unsere digitalen Werte schützen.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Sichere Welt.

 

Zusammenfassung
Deepfakes Malware-Angriffe: Die fortschrittlichen Taktiken von GoldFactory
Artikel Name
Deepfakes Malware-Angriffe: Die fortschrittlichen Taktiken von GoldFactory
Beschreibung
Erfahren Sie das Neueste über Deepfakes-Malware-Angriffe von GoldFactory. Erfahren Sie, wie diese chinesischsprachige Cybercrime-Gruppe fortschrittliche Taktiken einsetzt.
Autor
Name des Herausgebers
Tuxcare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter