Teenager verbreiten bewusst Malware auf Discord-Servern

Minderjährige verdienen sich auf Discord-Server durch die Verbreitung von Malware zusätzliches Taschengeld dazu. Das Alter der Nutzer*innen liegt zwischen 11 und 18 Jahren

Tom Wannenmacher, 4. Juli 2022

Avast, ein weltweit führender Anbieter digitaler Sicherheits- und Privatsphäre-Lösungen, entdeckte auf dem Instant Messaging-Dienst Discord eine Online-Community Minderjähriger, die Malware erstellen, austauschen und verbreiten.

Bei der Malware handelt es sich unter anderem um Ransomware und eine Mischung aus Informationsdiebstahl- und Kryptominer-Schadprogrammen. Die Gruppe lockt junge Nutzer*innen mit Werbung für einen Zugang zu verschiedenen Malware-Baukästen und Toolkits, mit denen Laien ganz einfach Schadsoftware erstellen können. In einigen Fällen müssen Nutzer*innen erst den Zugang zum Malware-Builder-Tool kaufen, um der Gruppe beitreten zu können, in anderen Fällen werden sie einfach Mitglied der Gruppe und erhalten ein Angebot für das Tool zwischen fünf und 25 Euro. 

Die Community nutzt spezielle Discord-Server als Diskussionsforum und Verkaufsplatz für die Verbreitung von Malware-Familien wie “Lunar”, “Snatch” oder “Rift”. Diese folgen alle dem aktuellen Malware-as-a-Service-Trend. Die Diskussionsforen enthüllen außerdem, dass fast täglich altersbezogene Beleidigungen ausgesprochen werden. Kinder gaben zudem ihr Alter preis und diskutierten über die Idee, Lehrer und ihre Schulsysteme zu hacken und erwähnten auch ihre Eltern in diesen Gesprächen. Beispielsweise erwähnte ein Kind, es bevorzuge, via Amazon-Gutschein zu zahlen, um nicht das Paypal-Konto seiner Mutter verwenden zu müssen. In einer Discord-Gruppe, die sich auf den Verkauf von “Lunar” konzentriert, gab es über 1.500 Nutzer*innen, von denen etwa 60-100 eine “Kund*innen”-Rolle einnahmen, die für den Builder bezahlt hatten. Die Preise der Malware-Builder-Tools unterscheiden sich je nach Art des Tools und der Dauer des Zugriffs auf das Tool.

BU: Beispiel einer Preisliste für Lunar-Builder; Bildquelle: Avast / Discord; Finden Sie hier das hochauflösende Bildmaterial.
BU: Beispiel einer Preisliste für Lunar-Builder; Bildquelle: Avast / Discord; Finden Sie hier das hochauflösende Bildmaterial.
BU: Beispiele von Chat-Auszügen zwischen den Jugendlichen; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.
BU: Beispiele von Chat-Auszügen zwischen den Jugendlichen; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.

Die Arten von Malware, die unter den Jugendlichen ausgetauscht werden, zielen sowohl auf Minderjährige als auch auf Erwachsene ab und bieten Optionen wie den Diebstahl von Passwörtern und privaten Daten, Kryptomining und sogar Ransomware. Kauft ein/e „Kund*in“ beispielsweise ein Builder-Tool und verwendet es für Datendiebstahl, sendet das erzeugte Schadprogramm alle gestohlenen Daten an den/die „Kund*in“, der es erzeugt und verbreitet hat. Verwendet ein/e „Kund*in“ ein Tool, um Ransomware zu generieren, wird das Opfer aufgefordert, Geld an das Krypto-Wallet des betreffenden Tool-Nutzers zu senden. Zu den weiteren auffälligen Features gehören der Diebstahl von Spielkonten, das Löschen von Fortnite- oder Minecraft-Ordnern oder das wiederholte Öffnen eines Webbrowsers mit nicht-jugendfreien Inhalten – offenbar nur, um anderen einen Streich zu spielen.

BU: Lunar-Plugin für die Löschung von Fortnite-Spieldaten; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.
BU: Lunar-Plugin für die Löschung von Fortnite-Spieldaten; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.
BU: Lunar-Plugin für die Löschung von Fortnite-Spieldaten; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.
BU: Lunar-Plugin für die Löschung von Fortnite-Spieldaten; Bildquelle: Avast / Discord
Finden Sie hier das hochauflösende Bildmaterial.

„Diese Communities mögen für Kinder und Jugendliche attraktiv sein, da Hacken als cool und spaßig angesehen wird. Malware-Builder bieten eine erschwingliche und einfache Möglichkeit, jemanden zu hacken und vor Gleichaltrigen damit zu prahlen. Es besteht sogar die Möglichkeit, durch Ransomware, Kryptomining und den Verkauf von Benutzerdaten Geld zu verdienen“, erklärt Jan Holman, Malware-Forscher bei Avast. „Diese Aktivitäten sind jedoch bei weitem nicht harmlos, sondern kriminell. Sie können erhebliche persönliche und rechtliche Konsequenzen haben – insbesondere wenn Kinder ihre eigene Identität und die ihrer Familien online preisgeben oder wenn die gekaufte Malware tatsächlich den Computer der Kinder infiziert und somit die gesamte Familie angreifbar macht, die das betroffene Gerät mitbenutzt. Ihre Daten, einschließlich der Online-Konten und Bankdaten, können an Cyberkriminelle weitergegeben werden.“

Verbreitung von Malware über YouTube

Nach dem Kauf und der Zusammenstellung ihrer individuell zusammengestellten Malware nutzten einige der Jugendlichen YouTube, um diese zu vermarkten und zu verbreiten. Avast-Forscher haben beobachtet, dass „Kund*innen“ ein YouTube-Video erstellt haben, welches angeblich Informationen über ein geknacktes Spiel oder einen Spiele-Cheat zeigt, auf das sie verlinken. In Wirklichkeit führte die URL jedoch zu ihrer Malware. Um Vertrauen für ihr Video zu schaffen, bitten sie andere Personen auf Discord, das Video zu liken und zu kommentieren und so die vermeintliche Echtheit des Videos zu bestätigen. In einigen Fällen haben sie sogar andere Personen gebeten, zu kommentieren, dass es sich um einen Fehlalarm handelt, wenn Antivirensoftware die Datei als bösartig erkennt. 

„Diese Technik ist ziemlich heimtückisch, denn anstelle von gefälschten Konten und Bots werden echte Menschen benutzt, um schädliche Inhalte als harmlosen Content einzustufen. Da Menschen mit echten Accounts hinter den Kulissen zusammenarbeiten, um den Inhalt positiv zu kommentieren, erscheint der bösartige Link vertrauenswürdiger und kann so mehr Menschen dazu verleiten, darauf zu klicken und infizierte Dateien herunterzuladen”, kommentiert Jan Holman.

Bei der Beobachtung der Online-Communities stellte Avast fest, dass trotz der gegenseitigen Unterstützung der Gruppenmitglieder für Streiche, aber eben auch für Informations- und Gelddiebstahl, auch Diskussionen geführt wurden, die schnell sehr turbulent wurden. Es wurde allgemein ein beträchtliches Maß an Streitereien, Instabilität und Mobbing unter den Nutzern*innen beobachtet. Dies ging teilweise bis zur Aneignung der Codebasis eines Nutzers durch einen anderen und bis zu dessen Verleumdung.

Malware-Builder sind Tools, mit denen Benutzer*innen bösartige Dateien erstellen können, ohne etwas programmieren zu müssen. Im Normalfall müssen die Anwender*innen nur die Funktionen auswählen und Details wie das Symbol anpassen. Es gibt mehrere Builder-basierte Malware-Familien, die ähnliche Benutzeroberflächen mit leicht unterschiedlichen Layouts, Farbpaletten, Namen und Logos besitzen. Dabei handelt es sich in der Regel um kurzlebige Projekte, die auf einem Quellcode von GitHub oder einem anderen Builder basieren, der mit einem neuen Logo und Namen versehen und manchmal leicht überarbeitet oder mit neuen Funktionen ausgestattet wurde.

Avast erkannte und blockierte die auf den Servern verbreitete Malware und informierte Discord über das Vorhandensein und Vorgehen dieser Gruppen. Discord bestätigte, dass die Plattform Maßnahmen gegen diese Art von Communities ergreifen wird und hat die entsprechenden Server gesperrt. 

Wie man Kinder vor bösartigen Online-Aktivitäten schützt:

Kindern sollte grundsätzlich beigebracht werden, auf den ersten Blick attraktiven Online-Angeboten gegenüber kritisch zu sein – zum Beispiel bei vermeintlich neuen Features in Games, die in den offiziellen Stores nicht verfügbar sind oder auch, wenn es um angebliche Preview-Versionen von Spielen geht. Außerdem sollten Eltern ihre Kinder über die Bedeutung von Passwortsicherheit aufklären und ihnen erklären, dass sie ihre Passwörter niemals an andere weitergeben dürfen, auch wenn es sich scheinbar um Freunde oder Spielleiter handelt, die ihre Hilfe anbieten. Grundsätzlich ist gerade für die Sicherheit jüngerer Kinder wichtig, dass sie keinerlei persönliche Informationen preisgeben, wenn sie Messaging-Plattformen wie Discord oder In-Game-Chats von Multiplayer Games wie Minecraft nutzen. Darüber hinaus brauchen Kinder auch im digitalen Raum eine ethische Orientierung darüber, was richtig oder falsch ist. Was verwegen und cool erscheinen mag, kann anderen ernsthaften Schaden zufügen und sogar eine Straftat darstellen. Kinder mögen denken, dass sie sicher sind, da sie rechtlich noch nicht haftbar sind, aber ihre Eltern sind es. Es ist wichtig, dass Eltern mit ihren Kindern über dieses Thema sprechen.

Discord selbst sprach gegenüber Avast auch die Empfehlung aus, dass Eltern die Plattformeinstellungen so anpassen sollten, dass ihr Kind keine Nachrichten von Fremden erhalten kann. Weitere Sicherheitstipps für Eltern sind auf dem Blog von Discord zu finden.

Weitere Informationen finden Sie unter: blog.avast.com/kids-discord-hacking-groups 

Lesen Sie auch: Cyberkriminelle stehlen Zugangsdaten für Discord-Konten


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama