Return to Blog

Was ist Community-Phishing und wie funktionierte der Nvidia RTX-LHR v2 Unlocker-Angriff?

März 23, 2022

Was ist Community-Phishing und wie funktionierte der Nvidia RTX-LHR v2 Unlocker-Angriff?

By Maor Dahan

Onlinesicherheit

Am 22. Februar erhielt die Cryptomining-Community die Nachricht, die Nvidia LHR-Mining-Erkennung sei erfolgreich infiltriert worden. Die Behauptung wurde später als Falschmeldung entlarvt, die ihre Empfänger dazu verleiten sollte, Malware auszuführen. Diese Art der Verbreitung von Malware bezeichnen wir als Community-Phishing. Die Hacker infiltrierten die Online-Community über Foren und andere Kanäle und verbreiteten Malware mithilfe von falschen Behauptungen, die auf die Bedürfnisse der Community abgestimmt waren.

Bei dieser Art von Malware handelt es sich um eine Zusammenstellung von „Maltools“, die auch mit geringen Kenntnissen leicht zu finden und einzusetzen sind. Diese Welle verdeutlicht, wie einfach es ist, Malware zu erstellen, die Sicherheitslösungen umgeht und den Hackern bei ihren kriminellen Zielen hilft.

PureCrypter und PurgeStealer sind einige der Maltools, die die Hacker eingesetzt haben, um eine Info-Stealer-Malware zu erstellen. Mithilfe von C# umgeht diese Malware die Security-Lösungen des angegriffenen Netzwerks, sammelt eine Vielzahl von Informationen und exportiert sie über gofile.io und Discord.

Die Grundlagen des Angriffs

Kryptowährungen haben im letzten Jahrzehnt an Popularität gewonnen und bieten neue Möglichkeiten für finanzielle Transaktionen. Da Kryptowährungen grundsätzlich dezentralisiert sind, erfordern sie eine Netzwerkvalidierung für eine Transaktion. Um den Algorithmus für eine solche Validierung auszuführen, benötigt man in der Regel eine hohe Rechenleistung.

Im Jahr 2020 veröffentlichte Nvidia die GeForce 30-Serie, die unter anderem für ihre RTX-Funktion bekannt ist. Zu Beginn machten die Hersteller bei ihrem Produkt keinen Unterschied zwischen Gamern und Minern, es eignete sich für beide Gruppen. Das änderte sich im Mai 2021, als Nvidia die 30XX-Serie Lite Hash Rate (LHR) ankündigte, um unterschiedliche Lösungen für Gamer und Miner anzubieten. Der Grund für diesen Schritt ist wahrscheinlich geschäftlicher Natur. Nvidia sagt dazu, dass die GeForce-Produkte von Gamern und die CMP-Serie von Minern die genutzt werden sollte.

Am 23. Februar veröffentlichten Hacker unter dem Deckmantel des Nvidia LHR v2 Unlocker-Tools, das die Nutzung der LHR-Modelle für Mining ermöglichen würde, eine Info-Stealer-Malware. Zielgruppe dieser Malware war die Community der Ethereum-Miner, die sich ein solches Tool wünschten, aber sie fielen nicht auf die Behauptungen der Angreifer herein. Am Vortag berichtete eine Reihe von Nachrichtenportalen über die Behauptung der Hacker, was die Verbreitung der Malware begünstigte. Erst später gaben die Seiten das Update zu den Berichten, dass es ich in Wahrheit um Malware handelte.

Die verbreitete Malware zielte auf die Wallets der Miner und alle anderen Tools für das Etherium-Mining ab. Es wurden jedoch auch andere Informationen wie etwa Browserdaten (Passwörter, Verlauf und Cookies) gesammelt.

Der zeitliche Ablauf des Angriffs

Der Angriff wurde nur ein paar Stunden später ohne ersichtlichen Grund abgebrochen. Es ist möglich, dass die Opfer des Angriffs dadurch die Bedrohung erkannten und sie abwehrten. Grund für den Abbruch könnte auch ein Fehler oder eine Entscheidung der Angreifer sein, die eine Entdeckung ihres Angriffs verhindern wollten.


Ich habe die Verwendung des PurgeStealers aufgrund der kurzen Zeitspanne zwischen der Veröffentlichung und dem Start der Kampagne durch den Angreifer angemerkt. Ein weiterer Zufall im Zusammenhang mit dem Nvidia LHR war, dass die Lapsus$-Gruppe Nvidia gehackt und deren IP gestohlen hat. Mit dieser IP und anderen privaten Daten konnten sie den LHR hacken und versuchen, ihn für 1 Million US-Dollar zu verkaufen.

Angriffsvektor

  1. T1566 – Es beginnt mit Community-Phishing. Die Angreifer machen falsche Angaben über eine Datei, die heiß begehrt oder außergewöhnlich ist und fordern die Benutzer auf, sie auszuführen.
  2. T1059.001 – Das Installationsprogramm führt eine erweiterte Powershell aus dem Installationsprogramm aus.
  3. T1620 – Die erste ausführbare Datei des Droppers verwendet reflektierendes Codeladen, um einen Angriff im Speicher auszuführen und das Schreiben auf die Festplatte zu vermeiden, um so einige Security-Lösungen zu umgehen.
  4. T1218.009 - Der zweite Dropper ist gut versteckt und implementiert Anti-Debug-, Anti-Reverse- und Umgehungstechniken. Dann verwendet er RegAsm.exe als Proxy, um die Info-Stealer-Malware auszuführen.
  5. T1567.002 - Die Malware nutzt den Web-Speicherdienst Gofile.io aus, um die gestohlenen Daten zu exportieren, ohne dass den Netzwerk-Monitoring-Lösungen etwas Ungewöhnliches auffällt.
  6. Man geht davon aus, dass das primäre Ziel des Angreifers Crypto-Wallets sind.

Fazit

Ich habe mich entschlossen, diesen Angriff „Community Phishing“ zu nennen, da er die Phishing-Technik über Community-Kanäle verbreitet. Mit einer Nachricht verleiten die Angreifer die Community in den Foren dazu, legitim erscheinende, aber tatsächlich schädliche Dateien auf ihrem Computer auszuführen. Dabei kennen die Angreifer ihre potenziellen Opfer und nutzen deren Bedürfnisse zur Verbreitung von Malware aus. Im Falle der hier ins Visier genommenen Community konnten die Angreifer davon ausgehen, dass ihre potenziellen Opfer Besitzer von Nvidia RTX-Grafikkarten sind und sich für Ethereum-Mining interessieren.

Es gibt mehr als eine Möglichkeit, vom Angriff auf diese speziellen Rechner zu profitieren. Die Malware könnte zum Beispiel ein Miner sein, der auf den leistungsstarken Geräten arbeiten kann. Es könnten auch eher hardwarebezogene Angriffe sein, die Schwachstellen in den Nvidia-Treibern ausnutzen und die Kontrolle über das System übernehmen könnten.

Unabhängig vom Ziel der Attacke war das Problem bei diesem speziellen Angriff seine Unkompliziertheit – jeder kann mit Maltools Malware erstellen. Maltools sind überall zu finden, sie sind zuverlässig und unkompliziert, und dank Kryptowährung können Cyberkriminelle sie anonym kaufen.

Phishing ist die gängigste Technik zur Verbreitung von Malware und wie wir hier sehen, gibt es neben dem traditionellen E-Mail-Phishing noch andere Methoden für die Angriffe. Wir bei Datto haben uns auf die Erkennung von Angriffsvektoren und deren Verhinderung spezialisiert. Am besten können Sie Phishing-Angriffe abwenden, wenn Sie niemals etwas für vertrauenswürdig halten, das Ihnen ungefragt zugesandt wird. Überprüfen Sie immer die Quelle und schützen Sie so Ihr Netzwerk.

Related
Dattos Bericht zur weltweiten Lage der MSPs: Trends und Prognosen für das Jahr 2024df

In der sich ständig weiterentwickelnden technologischen Welt spielen Managed Service Provider (MSPs) eine wichtige Rolle.
Produktupdates PSA Autotask, RMM und Business Continuity

Erfahren Sie in unserem exklusiven Webinar, moderiert von Bernd Müller, Rainer Kalthoff und Thomas Pentke, alles über die neuesten Updates zu Datto PSA, Datto RMM und Datto BCDR. Erhalten Sie praxisnahe Einblicke in die Produktneuerungen und deren Anwendung, um Ihr volles Potenzial auszuschöpfen und technologisch immer auf dem neuesten Stand zu sein. Zudem bieten wir Ihnen in unseren Demo-Umgebungen wertvolle Anregungen zur optimalen Nutzung.
Relevant Articles