Logo_Letitim.ch

Digitale Schlupflöcher: Wie Afrikas Banken Opfer frei verfügbarer Cyberwaffen werden

von | 26. Juli 2025

Cyberkriminelle nutzen immer häufiger frei verfügbare Programme aus dem Internet, sogenannte Open-Source-Werkzeuge, um Banken und andere Finanzinstitute in Afrika anzugreifen. Sie verschaffen sich heimlich Zugang zu den Netzwerken, oft über gefälschte E-Mails oder gestohlene Passwörter, und installieren dort ihre Werkzeuge. Diese tarnen sich als bekannte, harmlose Software, sodass die Angreifer lange unentdeckt bleiben und im Hintergrund die Kontrolle übernehmen können. Besonders betroffen sind Länder wie Elfenbeinküste, Marokko, Kamerun, Senegal und Togo, wo die Digitalisierung im Finanzbereich schnell voranschreitet, die dazugehörigen Sicherheitsvorkehrungen aber oft nicht mithalten.

Cyber-Kriminelle nutzen Open-Source-Werkzeuge, um Finanzinstitute in ganz Afrika zu kompromittieren

Ravie Lakshmanan – 26. Juni 2025

Cybersicherheitsforscher machen auf eine Reihe von Cyberangriffen aufmerksam, die seit mindestens Juli 2023 auf Finanzinstitute in ganz Afrika abzielen. Dabei kommt eine Mischung aus Open-Source- und öffentlich verfügbaren Werkzeugen zum Einsatz, um den Zugriff auf den Systemen aufrechtzuerhalten.

Palo Alto Networks [US-amerikanischer Anbieter von Cybersicherheitslösungen] Unit 42 verfolgt die Aktivitäten unter dem Codenamen CL-CRI-1014, wobei „CL“ für „Cluster“ und „CRI“ für „Criminal Motivation“ (kriminelle Motivation) steht. (Vgl. Unit 42)

Es wird vermutet, dass das Endziel der Angriffe darin besteht, einen ersten Zugriff zu erlangen und diesen anschließend an andere kriminelle Akteure in Untergrundforen zu verkaufen. Damit fungiert der Bedrohungsakteur als Initial-Access-Broker (IAB).

„Der Bedrohungsakteur kopiert Signaturen legitimer Anwendungen, um Dateisignaturen zu fälschen (vgl. Axelarator), sein Werkzeugset zu verschleiern und seine bösartigen Aktivitäten zu tarnen“, erklären die Forscher Tom Fakterman und Guy Levi (Vgl. Unit 42)

„Bedrohungsakteure täuschen häufig legitime Produkte vor, um sie für böswillige Zwecke zu missbrauchen.“

Die Angriffe sind durch den Einsatz von Werkzeugen wie PoshC2 für Command-and-Control (C2) [Bezeichnung für die Infrastruktur, über die Angreifer ihre Malware fernsteuern] (vgl. PoshC2 Docs), Chisel zum Tunneln schädlichen Netzwerkverkehrs und Classroom Spy (vgl. Classroom Spy) für die Fernadministration gekennzeichnet.

*Gut zu wissen:

  • PoshC2 ist ein Open-Source-Framework für Command-and-Control (C2). Damit können Angreifer kompromittierte Systeme fernsteuern, Schadsoftware nachladen, Daten exfiltrieren oder weitere Aktionen auf den betroffenen Rechnern ausführen.
  • Chisel ist ein Werkzeug, das den Netzwerkverkehr tunnelt. Angreifer nutzen es, um Datenverkehr über einen geschützten Tunnel zu leiten und so Firewalls oder andere Sicherheitsmaßnahmen zu umgehen.
  • Classroom Spy ist eine Fernwartungssoftware, die eigentlich dazu gedacht ist, Computer – beispielsweise in Schulen – zentral zu überwachen und zu steuern. Cyberkriminelle missbrauchen sie, um Rechner in kompromittierten Netzwerken aus der Ferne zu kontrollieren und zu überwachen.

Wie die Angreifer sich genau Zugang zu den Zielnetzwerken verschaffen, ist nicht bekannt. Sobald jedoch ein erster Fuß in der Tür ist, setzen die Angriffsketten zunächst den MeshCentral Agent [Open-Source-Software für die Fernverwaltung von Computern] (vgl. GitHub) und später Classroom Spy ein, um die Rechner zu übernehmen. Anschließend nutzen die Angreifer Chisel, um Firewalls zu umgehen, und verteilen PoshC2 auf weitere Windows-Hosts im kompromittierten Netzwerk.

Um Entdeckungsmaßnahmen zu umgehen, werden die Payloads [sind die eigentlichen Schadfunktionen oder -daten, die von Angreifern in ein Zielsystem eingeschleust werden] als vermeintlich legitime Software ausgegeben und mit den Symbolen von Microsoft Teams [Kollaborations- und Kommunikationsplattform für Unternehmen], Palo Alto Networks Cortex [Sicherheitsplattform für Unternehmen] und Broadcom VMware Tools [Sammlung von Dienstprogrammen für virtuelle Maschinen] versehen. PoshC2 wird mit drei verschiedenen Methoden dauerhaft auf den Systemen verankert –

  • Einrichten eines Dienstes
  • Ablegen einer Windows-Verknüpfungsdatei (LNK) zum Tool im Autostart-Ordner
  • Erstellen einer geplanten Aufgabe unter dem Namen „Palo Alto Cortex Services“

In einigen von der Cybersicherheitsfirma beobachteten Vorfällen sollen die Angreifer zudem Benutzeranmeldedaten gestohlen haben, um mit PoshC2 einen Proxy [Vermittlungsstelle zwischen einem Nutzer und dem Internet] einzurichten.

„PoshC2 kann einen Proxy nutzen, um mit einem Command-and-Control-Server (C2-Server) zu kommunizieren. Es sieht so aus, als hätte der Bedrohungsakteur einige der PoshC2-Implantate speziell an die Zielumgebung angepasst“, so die Forscher.

Es ist nicht das erste Mal, dass PoshC2 in Angriffen auf Finanzdienstleister in Afrika eingesetzt wird. Bereits im September 2022 beschrieb Check Point [israelisches Cybersicherheitsunternehmen] eine Spear-Phishing-Kampagne [gezielter, individuell angepasster Phishing-Angriff auf bestimmte Personen oder Organisationen] mit dem Namen DangerousSavanna, die Finanz- und Versicherungsunternehmen in Elfenbeinküste, Marokko, Kamerun, Senegal und Togo ins Visier nahm, um Metasploit [Open-Source-Framework zum Testen und Ausnutzen von Schwachstellen in IT-Systemen], PoshC2, DWservice [Fernwartungstool zur Steuerung und Überwachung von Computern über das Internet] und AsyncRAT [Schadsoftware für Fernzugriff und Überwachung von Computern] einzuschleusen.

Die Veröffentlichung erfolgt, nachdem Trustwave SpiderLabs [Forschungsabteilung des US-Sicherheitsanbieters Trustwave] eine neue Ransomware-Gruppe namens Dire Wolf bekannt gemacht hat, die seit ihrem Auftreten im vergangenen Monat bereits 16 Opfer in den USA, Thailand, Taiwan, Australien, Bahrain, Kanada, Indien, Italien, Peru und Singapur für sich reklamiert. Am stärksten betroffen sind die Branchen Technologie, Fertigung und Finanzdienstleistungen.

Die Analyse des Dire-Wolf-Lockers ergab, dass er in der Programmiersprache Go (Golang) geschrieben ist und Funktionen enthält, um die Systemprotokollierung zu deaktivieren, eine fest codierte Liste von 75 Diensten und 59 Anwendungen zu beenden und Wiederherstellungsversuche durch das Löschen von Schattenkopien zu verhindern.

„Obwohl bislang keine Informationen über die von Dire Wolf eingesetzten Methoden für Erstzugriff, Aufklärung oder laterale Bewegung vorliegen, sollten Organisationen bewährte Sicherheitspraktiken befolgen und die in dieser Analyse aufgezeigten Techniken überwachen“, rät das Unternehmen. (Vgl. Trustwave)

Quelle: TheHackerNews.com

Empfehlungen:

  • Verschlüsselung verständlich gemacht: Plus Tipps fürs Backup
    Datenlecks, Hacker-Angriffe und Betrug – die virtuelle Welt kann genauso gefährlich sein wie die reale. Aber was bedeutet das für dich und wie kannst du dich schützen?
    In diesem Artikel klären wir über die Grundlagen der 128-Bit- und 256-Bit-Verschlüsselungstechnologien auf. Wir halten alles so einfach wie möglich.
    Zusätzlich zeigen wir ein kurzes Video, das die Wichtigkeit von Backups beleuchtet, und geben dir Möglichkeiten für deine Online-Sicherheit an die Hand.
  • ‼️ Kostenloses Live-Webinar „Cyber-Privatsphäre: Überwachung stoppen“ – präsentiert von unserem Partner PRVCY und persönlich gehalten von CEO Chris. Befreie Dich von staatlicher Überwachung und Big-Tech-KI-Tracking, erhalte strategischen IT-Schutz. Jetzt anmelden und Platz sichern ‼️

EU, Big Tech und die totale Kontrolle – Sind wir bereit für 2026?

👉 Einladung zum kostenlosen Webinar mit Jan Walter von Legitim und Chris von PRVCY.

👉 11. November – 19:00 Uhr

Jetzt hier anmelden – denn das solltest Du keinesfalls verpassen!

Telegram Logo „Bye Bye Staat & Hallo Freiheit“
Abonniere jetzt LegitimCrypto auf Telegram!

Informationen

Redaktion

Impressum

Datenschutzerklärung

Newsletter abonnieren

Social Media

Rumble

Telegram

Youtube

Legitim-Newsletter

 

Abonniere den Newsletter,


um die wichtigsten Updates per E-Mail zu erhalten!

Du hast dich erfolgreich angemeldet - danke!

Legitim berichtet über Themen, die der Mainstream verschweigt!