paint-brush
5 neue Malware-Techniken zum Stehlen Ihrer Kryptowährungen (2024)von@obyte
441 Lesungen
441 Lesungen

5 neue Malware-Techniken zum Stehlen Ihrer Kryptowährungen (2024)

von Obyte7m2024/08/22
Read on Terminal Reader

Zu lang; Lesen

Kaspersky Lab hat eine neue Bedrohung entdeckt, die auf Kryptowährungs-Wallets abzielt. Die Malware war in Raubkopien von Software versteckt, die auf Torrent- und Piraterie-Websites verfügbar war. Sie ersetzt legitime Wallet-Apps wie Exodus und Bitcoin-Qt durch infizierte Versionen. Die Cyberkriminellen hinter diesem Schema verwenden gefälschte, aber legitim aussehende Apps.
featured image - 5 neue Malware-Techniken zum Stehlen Ihrer Kryptowährungen (2024)
Obyte HackerNoon profile picture
0-item


Cyberkriminelle sind immer auf der Suche nach Innovationen und werden dabei besonders von Kryptowährungen angezogen. Vielleicht erkunden Sie das Internet unbekümmert, ohne zu wissen, auf wie viele Minen Sie dabei treten. Es schadet nie, vorsichtig zu sein und sich über die neuesten Sicherheitstrends auf dem Laufenden zu halten, wenn es um den Schutz Ihrer Kryptogelder geht.


Um Ihnen eine Vorstellung davon zu geben, wie groß dieses böse Geschäft für böswillige Parteien ist, Kettenanalyse Im Jahr 2023 wurden rund 24,2 Milliarden US-Dollar über illegale Krypto-Adressen empfangen. Gehören Sie nicht zur nächsten Zahl! Sehen wir uns einige neue Malware-Techniken an, die Sie in diesem Jahr kennen sollten, und wie Sie sich davor schützen können.

Eine Hintertür in MacOS


Es ist nicht unbedingt eine gute Idee, Anwendungen von nicht offiziellen Websites herunterzuladen, und dies ist ein gutes Beispiel dafür. Das Cybersicherheitsunternehmen Kaspersky Lab entdeckt Anfang des Jahres stach eine neue Bedrohung ins Visier, die auf Kryptowährungs-Wallets von macOS-Benutzern abzielte und in Raubkopien-Software versteckt war, die auf Torrent- und Raubkopien-Websites verfügbar war.


Wenn Benutzer diese scheinbar kostenlosen Programme installieren, lassen sie unwissentlich Malware auf ihren Computer. Der erste Schritt umfasst eine App namens „Activator“, die Benutzer auffordert, Administratorzugriff zu gewähren. Dadurch erhält die Malware die erforderlichen Berechtigungen, um sich selbst zu installieren und die normale Funktion der Raubkopie zu deaktivieren. Dadurch werden Benutzer dazu verleitet, zu glauben, dass sie diesen Activator benötigen, damit die Software funktioniert.


Activator-App in der Backdoor-Malware. Bild von Kaspersky

Nach der Installation kontaktiert die Malware einen Remote-Server, um weitere bösartige Anweisungen herunterzuladen. Diese Anweisungen helfen der Malware, eine Hintertür zu erstellen, die Hackern kontinuierlichen Zugriff auf den infizierten Computer gewährt. Das Hauptziel dieser Malware ist der Diebstahl von Kryptowährung. Sie ersetzt legitime Wallet-Apps wie Exodus und Bitcoin-Qt durch infizierte Versionen.


Diese manipulierten Apps erfassen dann vertrauliche Informationen wie Wiederherstellungsphrasen und Wallet-Passwörter und senden sie an die Hacker – und plündern so effektiv Ihre Krypto-Guthaben. Ein verdächtiges „Activator“-Installationsprogramm ist aufgetaucht, nachdem Sie eine „kostenlose“ App erhalten haben? Geben Sie ihm keinen Zugriff darauf und deinstallieren Sie es sofort!


Vortax, Web3-Spiele und „Markopolo“


Die Vortax-Kampagne ist eine betrügerische Malware-Operation, die auf Kryptowährungsnutzer abzielt und von den Forschern von Recorded Future entdeckt wurde. Die Cyberkriminellen dahinter dieses Schema verwenden gefälschte, aber legitim aussehende Apps, um sowohl Windows- als auch macOS-Geräte mit Malware zu infizieren, die Informationen stiehlt. Die App gibt sich als virtuelle Meeting-Software namens Vortax aus und wirkt glaubwürdig mit einer von Suchmaschinen indizierten Website, einem Blog mit KI-generierten Artikeln und Social-Media-Konten auf Plattformen wie X, Telegram und Discord. Der Bedrohungsakteur verwickelt potenzielle Opfer in Diskussionen zum Thema Kryptowährung und fordert sie auf, die Vortax-App herunterzuladen, unter dem Vorwand, an einem virtuellen Meeting teilzunehmen.


Sobald Benutzer den bereitgestellten Anweisungen folgen, werden sie zu Download-Links weitergeleitet, die die Vortax-Software installieren. Statt einer funktionsfähigen App liefern die Installationsdateien jedoch Malware wie Rhadamanthys, Stealc oder Atomic Stealer (AMOS). Die Vortax-App scheint aufgrund absichtlicher Fehler nicht zu funktionieren, während die Malware im Hintergrund beginnt, vertrauliche Informationen zu stehlen – darunter Passwörter und Seed-Phrasen. Weitere Untersuchungen ergaben, dass die Vortax-Kampagne mit mehreren Domänen verknüpft ist, die ähnliche bösartige Anwendungen und gefälschte Web3-Spiele hosten, was auf eine gut organisierte Aktion des Bedrohungsakteurs mit dem Namen Markopolo hindeutet.


Zu Markopolos Taktiken gehört die Nutzung von sozialen Medien und Messaging-Plattformen zur Verbreitung ihrer Malware. auch maskiert wie Marken und Spiele wie VDeck, Mindspeak, ArgonGame, DustFighter und Astration. Diese Strategie vergrößert nicht nur ihre Reichweite, sondern erhöht auch die Wahrscheinlichkeit, dass Benutzer dazu verleitet werden, die Schadsoftware herunterzuladen. Die Raffinesse und Anpassungsfähigkeit der Kampagne lassen darauf schließen, dass zukünftige Angriffe noch häufiger vorkommen könnten, was die Notwendigkeit unterstreicht, dass Benutzer beim Herunterladen von Software von Drittanbietern vorsichtig sein müssen, insbesondere wenn diese verdächtig darauf bestehen.


Pytoileur, eine Falle für Python-Entwickler


Forscher von Sonatype haben eine neue Bedrohung entdeckt, die es auf Benutzer von Kryptowährungen abgesehen hat. Dabei handelt es sich um ein bösartiges Python-Paket namens „pytoileur“. Als legitimes API-Verwaltungstool getarnt, verleitet pytoileur Benutzer dazu, es aus dem Python Package Index (PyPI) herunterzuladen. Nach der Installation ruft das Paket heimlich schädliche Software ab und installiert sie, die darauf ausgelegt ist, Kryptowährungen zu stehlen, indem sie auf vertrauliche Informationen zugreift, die auf dem Gerät des Opfers gespeichert sind.


Das bösartige Paket war geschickt in scheinbar harmlosem Code versteckt. Es lud eine gefährliche ausführbare Datei herunter, die nach der Ausführung verschiedene bösartige Aktivitäten ausführte. Dazu gehörten das Ändern von Systemeinstellungen, das Aufrechterhalten der Präsenz auf dem Gerät, um eine Erkennung zu vermeiden, und vor allem der Versuch, Kryptowährung aus Wallets und Konten zu stehlen, die mit beliebten Diensten wie Binance , Coinbase und Crypto.com verknüpft sind. Durch den Zugriff auf Browserdaten und andere Finanzdetails konnte die Malware digitale Vermögenswerte abschöpfen, ohne dass das Opfer davon wusste.


Sonatype hat ein schädliches Pytoileur-Paket gefunden

Bei der Verbreitung von Pytoileur kamen Social-Engineering-Taktiken zum Einsatz, darunter die Nutzung von Community-Plattformen wie Stack Overflow, um Entwickler unter dem Vorwand, technische Probleme zu lösen, zum Download des Pakets zu verleiten. Dieser Vorfall ist Teil einer umfassenderen „Cool Package“-Kampagne und deutet auf eine anhaltende Anstrengung von Cyberkriminellen hin, Kryptowährungsnutzer mit ausgefeilten und sich weiterentwickelnden Methoden anzugreifen. Mend.io, ein weiteres Sicherheitsunternehmen, hat identifiziert über 100 schädliche Pakete in PyPI-Bibliotheken.


Entwickler können schädliche Pakete vermeiden, indem sie von vertrauenswürdigen Quellen herunterladen, die Paketintegrität überprüfen und den Code vor der Verwendung prüfen. Es ist auch hilfreich, sich über Sicherheitshinweise auf dem Laufenden zu halten und automatisierte Sicherheitstools zu verwenden.


P2PInfect, eine Bedrohung aus dem Nichts


P2Pinfect, identifiziert von Cado Security, ist eine hochentwickelte Malware, die ein Peer-to-Peer-Botnet zur Steuerung nutzt. Mit anderen Worten: Die Malware erkennt, ob ein Computer zu einem Netzwerk gehört und infiziert alle angeschlossenen Geräte, sodass diese direkt miteinander kommunizieren und sich gegenseitig steuern können, ohne auf einen zentralen Server angewiesen zu sein. Zunächst schien die Malware inaktiv zu sein, doch ihre aktualisierte Form umfasst nun Ransomware- und Krypto-Mining-Funktionen.

Bei einer Infektion , verbreitet es sich hauptsächlich über Schwachstellen in Redis, einem beliebten Datenbanksystem, wodurch die Malware beliebige Befehle ausführen und sich über verbundene Systeme verbreiten kann. Die Botnet-Funktion sorgt für eine schnelle Verteilung von Updates und verwaltet ein umfangreiches Netzwerk kompromittierter Geräte – beispielsweise in einem ganzen Unternehmen.


Opfer stoßen normalerweise über unsichere Redis-Konfigurationen oder durch eingeschränkte SSH-Versuche (Secure Shell), Remote-Systeme mit gemeinsamen Anmeldeinformationen zu verwalten, auf P2Pinfect. Sobald P2Pinfect auf dem System eines Opfers aktiv ist, installiert es einen Krypto-Miner, der es auf die Kryptowährung Monero abgesehen hat. Dieser Miner wird nach einer kurzen Verzögerung aktiviert und generiert Kryptowährung mithilfe der Systemressourcen, wobei er die Einnahmen heimlich in die Brieftasche des Angreifers leitet und die Leistung des Geräts verlangsamt.


Ransomware-Hinweis in P2PInfect. Bild von Cado Security

Die Ransomware-Komponente verschlüsselt (blockiert) Dateien und verlangt eine Kryptozahlung, um sie abzurufen. Ihre Wirksamkeit ist jedoch aufgrund der typischen Berechtigungen infizierter Redis-Server begrenzt. Die Monero-Wallet des Angreifers hat ungefähr 71 XMR angesammelt, was etwa 12.400 US-Dollar entspricht. Dies veranschaulicht den finanziellen Erfolg der Kampagne trotz der möglicherweise begrenzten Auswirkungen der Ransomware aufgrund der von Redis gespeicherten Daten mit typischem geringem Wert. Um diese Malware zu vermeiden, denken Sie daran, Redis-Konfigurationen zu sichern und regelmäßig auf ungewöhnliche Aktivitäten zu achten.


Gefälschte AggrTrade und andere bösartige Erweiterungen


Die gefälschte Chrome-Erweiterung AggrTrade, die von der Sicherheitsfirma SlowMist beschrieben wurde, war ein bösartiges Tool, das Benutzer dazu verleitete, erhebliche Mengen an Kryptowährung zu verlieren. Die Erweiterung tarnte sich als legitimes Handelstool (AggrTrade), war jedoch nur dazu gedacht, Gelder zu stehlen. Benutzer installierten es unwissentlich, woraufhin es ihren Zugang zu Kryptowährungsbörsen und Handelsplattformen ausnutzte, indem es vertrauliche Informationen – Passwörter und Anmeldeinformationen – entwendete.


Die Erweiterung funktionierte, indem Cookies und andere Sitzungsdaten erfasst wurden, wodurch es die Anmeldungen der Benutzer nachahmen und nicht autorisierte Transaktionen durchführen konnte. Dies führte zu einem Diebstahl von insgesamt rund 1 Million US-Dollar. Es wurde durch irreführende Taktiken über soziale Medien und Marketingwerbung verbreitet, die die Opfer dazu verleiteten, es herunterzuladen und zu installieren, oft aus inoffiziellen oder verdächtigen Quellen.

Gefälschte AggrTrade-Erweiterung, bevor sie gelöscht wurde. Bild von SlowMist 

Diese spezielle Bedrohung wurde bereits beseitigt, aber sie ist nur ein dürftiges Beispiel unter zahlreichen Versuchen. Derzeit gibt es mehrere andere bösartige Chrome-Erweiterungen geben sich als seriöse Handelsdienste aus, die darauf abzielen, Kryptowährungen zu stehlen. Um sich zu schützen, installieren Sie nur Erweiterungen aus vertrauenswürdigen Quellen, überprüfen Sie regelmäßig die Berechtigungen und überwachen Sie Ihre Konten auf ungewöhnliche Aktivitäten.


Denken Sie auch daran, dass alle Browsererweiterungen Ihren gesamten Browserverlauf verfolgen, sehen können, was Sie auf jeder Website tun, und Cookies und andere private Daten stehlen können. Die Verwendung von Hardware- oder Papiergeldbörsen für größere Beträge und die Aktualisierung der Sicherheitssoftware können Ihren Schutz vor solchen Bedrohungen ebenfalls verbessern.


Schutzmaßnahmen


Zum Schutz vor solcher Krypto-Diebstahl-Malware können Sie einige grundlegende Maßnahmen ergreifen:


  • Aus vertrauenswürdigen Quellen installieren: Verwenden Sie nur Erweiterungen und Software aus seriösen Quellen und von offiziellen Websites. Überprüfen Sie vor der Installation Bewertungen und Berechtigungen.
  • Installieren Sie so wenig Software wie möglich: Überlegen Sie sich vor der Installation einer weiteren App oder Browsererweiterung auf Ihrem Desktop-Computer noch einmal, ob Sie diese wirklich benötigen. Vielleicht können Sie Ihre Ziele mit der vorhandenen Software erreichen? (Allerdings ist dies auf mobilen Plattformen sicherer, da dort jede App in einer Sandbox ausgeführt wird.)
  • Regelmäßige Sicherheitsüberprüfungen: Überprüfen und entfernen Sie häufig ungenutzte Erweiterungen oder Software. Suchen Sie regelmäßig nach ungewöhnlichen Aktivitäten in Ihren Krypto-Konten (online und offline) und Ihrem System.
  • Verwenden Sie eine starke Authentifizierung: Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für Ihre Konten, um eine zusätzliche Sicherheitsebene hinzuzufügen. In Obyte Geldbörsen , können Sie dies tun, indem Sie über das Hauptmenü ein Multigerätekonto erstellen oder in den Einstellungen ein Ausgabenkennwort festlegen.



  • Setzen Sie Anti-Malware-Tools ein: Verwenden Sie aktuelle Antiviren- und Anti-Malware-Tools, um Online- und Offline-Bedrohungen zu erkennen und zu blockieren.
  • Sichern Sie Ihre Kryptowährung: Speichern Sie wichtige Kryptowährungen in Hardware- oder Papier-Wallets, um die Gefährdung durch Online-Bedrohungen zu verringern. Mit der Obyte-Wallet können Sie ganz einfach Ihre eigene Papier-Wallet erstellen, indem Sie eine Textmünze (zwölf zufällige Wörter), schreiben Sie es auf und löschen oder blockieren Sie dann die Software selbst, bis Sie das Geld ausgeben müssen.


Stellen Sie innerhalb und außerhalb von Obyte sicher, dass Sie sichere und verifizierte Geldbörsen verwenden, und befolgen Sie diese Best Practices, um Ihr Vermögen zu schützen!



Ausgewähltes Vektorbild von Freepik