„Script Kiddies“ werden gehackt – was das für die Cybercrime-Wirtschaft bedeutet

Die Entdeckung eines Trojaners, der als Software getarnt ist, um wenig erfahrenen Hackern bei der Erstellung von XWorm RAT-Malware zu helfen, zeigt den Reifegrad und die Komplexität der florierenden Cyberkriminalitätswirtschaft – und erinnert uns daran, dass es unter Dieben keine Ehre gibt.

Stellen Sie sich vor, Sie sind ein ehrgeiziger junger Möchtegern-Hacker. Sie sind kein Experte im Programmieren. Stattdessen haben Sie den Weg zum Marktplatz des Dark Web für Cybercrime-Tools und -Dienste eingeschlagen. Dort sind Sie wie ein Kind in einem Süßwarenladen. Zu sehr günstigen Preisen können Sie „Malen-nach-Zahlen“-Software kaufen oder mieten, mit der es ein Kinderspiel ist, einen Cyberangriff zu erstellen und durchzuführen. Eine kleine zusätzliche Gebühr fügt technischen Support rund um die Uhr hinzu.

Ransomware-as-a-Service (RaaS) und Phishing-as-a-Service (PhaaS) machen es noch einfacher – und ihre Nutzung nimmt stetig zu. Bereits im August 2023 hat Interpol eine PhaaS-Operation mit 70.000 aktiven Kunden aus dem Verkehr gezogen.

Eine Frage des Vertrauens

Das Problem für unseren hypothetischen jungen Hacker – einen vom Typ der sogenannten „Script Kiddies“ – besteht darin, dass jeder, mit dem er auf diesem Markt zu tun hat, im Grunde ein Krimineller ist. Das wirft potenzielle Fragen darüber auf, wem man vertrauen kann. 

Nun, im letzten Monat haben 18.000 Scriptkiddies herausgefunden, was passiert, wenn Vertrauen fehl am Platz ist. Sie dachten, sie würden einen kostenlosen XWorm RAT-Builder herunterladen – eine Software, um die Produktion einer Cyber-Bedrohung zu automatisieren. 

Stattdessen installierten sie auf ihren Systemen Malware, die eine Hintertür schuf, über die Bedrohungsakteure die Kontrolle über ihre Windows-Computer erhielten. 

So hat es funktioniert

Sobald ein System infiziert war, wurde es bei einem Telegram-basierten Command-and-Control-Server registriert. 

Die Malware stiehlt und exfiltriert automatisch Discord-Token, System- und Standortdaten. 

Sobald eine Verbindung zum Server hergestellt ist, können Bedrohungsakteure Befehle ausführen, darunter das Stehlen gespeicherter Passwörter und Browserdaten, das Aufzeichnen von Tastatureingaben, das Erfassen des Bildschirms, das Verschlüsseln von Dateien, das Beenden von Security-Software und das Exfiltrieren spezifischer Dateien.

Bedrohungsforscher, die die Infektion entdeckten, konnten einen Deinstallationsbefehl für die Malware identifizieren und senden, der sie von vielen, aber nicht allen infizierten Maschinen entfernte.

Was dies bedeutet

„Keine Ehre unter Dieben“ könnte die erste Antwort sein, die vielen von uns in den Sinn kommt. Aber ich denke, die Wahrheit ist etwas komplexer.

Jeder erfolgreiche Marktplatz für den Kauf und Verkauf von Waren erfordert ein gewisses Maß an Vertrauen. Es muss Vertrauen bestehen, dass die Verträge eingehalten werden. Und nach diesem Maßstab ist die Cybercrime-Wirtschaft ein sehr zuverlässiger Marktplatz, auf dem die überwiegende Mehrheit der Transaktionen ohne Fraud abläuft. 

Aber genau dieser Erfolg als zuverlässiger Marktplatz ist die Bedingung für das Auftreten von Fraud und bösartigem Verhalten. Ungeübte Käufer auf einem Marktplatz – wie unsere Skript-Kiddies auf dem Marktplatz für Malware – sind zu vertrauensselig und damit ein ideales Opfer von Betrügern, die am Rande des Marktplatzes agieren und von dem allgemeinen Vertrauen und Ruf des Marktes profitieren.

„Käufer, aufgepasst“ ist auf jedem Markt eine kluge Einstellung. Die Geschichte über die Skript-Kiddies, die gefälschte Malware erstellen, zeigt uns jedoch, dass die Cyberkriminalität ein voll ausgereifter Marktplatz ist, auf dem die meisten Cyberkriminellen zuversichtlich Geschäfte machen können.