MalwareRansomwareCyberkriminalität

CRPx0: Neue plattformübergreifende Malware nutzt OnlyFans-Köder für Kryptoclip-Betrug und Ransomware

Von CyberDeutsch Redaktion
CRPx0: Neue plattformübergreifende Malware nutzt OnlyFans-Köder für Kryptoclip-Betrug und Ransomware
Zusammenfassung

Die Malware-Kampagne CRPx0 stellt eine erhebliche Bedrohung für Windows- und macOS-Nutzer dar und zielt auf Nutzer ab, die kostenlose OnlyFans-Accounts suchen. Die Angreifer locken ihre Opfer mit der Verheißung unbezahlter Zugänge an und verbreiten die Schadsoftware durch eine täuschend echt aussehende ZIP-Datei, die eine Shortcut-Datei enthält. Nach der Installation entfaltet die Malware ihre destruktive Wirkung in drei Phasen: Sie stiehlt zunächst Kryptowährungen durch Manipulation der Zwischenablage, führt dann großflächige Datenexfiltration durch und verschlüsselt schließlich Dateien als Ransomware – ein klassisches Double-Extortion-Modell. Die Angreifer erpressen ihre Opfer daraufhin mit gestohlenen Daten, die auf ihrer Leak-Site zum Verkauf angeboten werden. Deutsche Nutzer, insbesondere solche auf privaten Geräten, sind gleichermaßen gefährdet wie internationale Nutzer. Unternehmen sollten ihre Mitarbeiter vor dieser Bedrohung warnen und strenge Sicherheitsrichtlinien durchsetzen, während Privatanwender vor dem Download verdächtiger Dateien aus unsicheren Quellen gewarnt werden sollten. Die Tatsache, dass Ransom-Noten in Englisch, Russisch und Chinesisch verfügbar sind, unterstreicht die globale Ausrichtung dieser organisierten Bedrohung.

CRPx0 zeigt alle Merkmale einer hochprofessionellen Cyberkriminellen-Operation: Das Angebot kostenloser OnlyFans-Accounts funktioniert als psychologischer Köder besonders gut, da potenzielle Opfer bereits demonstriert haben, dass sie bereit sind, sicherheitsrelevante Risiken einzugehen, um illegalen Zugang zu Paid-Content zu erhalten.

Die Infektionskette beginnt mit einer ZIP-Datei namens “OnlyfansAccounts.zip”, die eine vermeintlich harmlose Shortcut-Datei (Onlyfans Accounts.lnk) enthält. Diese täuscht vor, auf Account-Anmeldedaten zu verweisen, öffnet aber eine Textdatei mit dem Titel “Accounts.txt” – angeblich mit 50 funktionierenden Accounts. Im Hintergrund wird parallel die Malware installiert.

Das Besondere an CRPx0 ist die Dreifach-Strategie:

Kryptoclip-Betrug: Das Malware-Modul überwacht ständig die Zwischenablage des Systems. Kopiert der Nutzer eine Wallet-Adresse, wird diese automatisch durch eine Adresse der Angreifer ersetzt. Dies ist eine besonders tückische Variante des Kryptowährungsdiebstahls, da das Opfer selbst die Überweisung an die Kriminellen initiiert.

Datenexfiltration: Die Angreifer wählen via Command-and-Control-Server gezielt Dateien zur Exfiltration aus – Dokumente, Medien, E-Mails, Quellcode und Engineering-Dateien. Dies ist der erste Schritt einer Double-Extortion-Attacke.

Ransomware-Verschlüsselung: Nach der Datenexfiltration lädt die Malware ein Python-Skript herunter (crypter.py), das Dateien mit AES-Fernet-Verschlüsselung chiffriert und mit der Erweiterung “.crpx0” speichert. System- und kritische Verzeichnisse bleiben bewusst unverschlüsselt, damit das System stabil bleibt und Lösegeld bezahlt werden kann. Anschließend werden Erpressungsnachrichten in Englisch, Russisch und Chinesisch hinterlassen.

Bisherige Opfer können gestohlen Daten für 500 US-Dollar in Kryptowährung erwerben – “lebenslanger Zugriff” ohne wiederkehrende Gebühren. Die Betreiber der Leak-Website melden bereits 38 kompromittierte Opfer und behaupten, 10.839 Terabyte an Daten erbeutet zu haben.

Wichtig für deutsche Nutzer: Die Kampagne zeigt keine geografische Einschränkung. Jeder, der den Köder anklickt, kann Opfer werden. Besonders Privatnutzer sind gefährdet, da sie weniger Sicherheitsbewusstsein haben als Unternehmensangestellte, die Firmengeräte nutzen.

Archer empfehlen Unternehmen und Privatnutzern, verdächtige Download-Quellen zu meiden und moderne Endpunktschutz-Lösungen zu nutzen.

Ähnliche Artikel