Experten des IT-Sicherheitsanbieters Kaspersky haben eine neue Malware entdeckt, die allein in den ersten Monaten des laufenden Jahres schon Krypto-Währungen im Wert von 400.000 US-Dollar gestohlen hat. Betroffen sind mehr als 15.000 Nutzer in 52 Ländern; Deutschland rangiert auf Platz vier. [1] Da in Deutschland bereits jeder Zehnte Krypto-Währungen besitzt und nutzt, [2] ist davon auszugehen, dass Krypto-Währungen nicht nur am Finanzmarkt immer mehr an Bedeutung gewinnen, sondern auch unter Verbrauchern immer weiter Verbreitung finden werden. Da auch Cyber-Kriminelle solche Trends genau verfolgen, ist damit zu rechnen, dass sie Krypto-Währungen vermehrt ins Visier nehmen werden.
In der aktuellen Kampagne der Cyber-Kriminellen wird unter dem Deckmantel des Tor-Browsers eine Malware verbreitet, die einen Teil der eingegebenen Wallet-Adresse durch die der Cyberkriminellen ersetzt, sobald sie eine Wallet-Adresse in der Zwischenablage entdeckt. Damit wird das Geld auf die Wallet der Cyberkriminellen transferiert. Ausgehend von der Analyse der Samples schätzten die Sicherheitsexperten von Kaspersky den entstandenen Verlust für die Nutzer auf mindestens 400.000 US-Dollar. Der tatsächlich gestohlene Betrag könne jedoch noch viel höher liegen, so das Unternehmen, da sich diese Schätzung lediglich auf Fälle bezieht, bei denen der Missbrauch des Tor-Browsers zur Kompromittierung der Daten führte.
Die Opfer laden sich dabei unwissentlich über eine Drittanbieter-Webseite eine Trojaner-verseuchte Version des Browsers herunter, die ein passwortgeschütztes RAR-Archiv enthält. Der Einsatz eines Passwortschutzes soll verhindern, dass Sicherheitslösungen das Archiv als Schadsoftware erkennen. Nach dem Download nistet sich die Malware im Auto-Start des Systems ein und tarnt sich mit einem Symbol einer beliebten Anwendung wie etwa uTorrent. Entdeckt die Malware eine Wallet-Adresse in der Zwischenablage eines Nutzers, wird diese Adresse durch die des Angreifers ersetzt. „Die Angriffe über den gefälschten Tor-Browser sind recht simpel,“ erläutert Vitaly Kamluk, Leiter des Global Research & Analysis Team in der APAC-Region bei Kaspersky. Nichtsdestoweniger warnt Kamluk vor der Gefahr, die solche Attacken darstellen. Zum einen ermögliche die Malware irreversible Geldtransfers – einmal überwiesen, kann das erbeutete Geld nicht zurückgeholt werden –, zum anderen sei die Schadsoftware für einen normalen Nutzer besonders schwer zu erkennen, da sie passiv im Hintergrund bleibe. „Bei den meisten Schadprogrammen ist ein Kommunikationskanal zwischen dem Betreiber des Schadprogramms und dem System des Opfers erforderlich,“ erklärt Kamluk. „Clipboard Injectors hingegen können jahrelang unbemerkt bleiben, indem sie weder Netzwerkaktivitäten zeigen noch andere Hinweise auf ihre Anwesenheit geben, bis zu dem Zeitpunkt, an dem sie eine Krypto-Wallet-Adresse ersetzen.“
Wer seine Krypto-Wallets und -Währungstransaktionen vor dem Zugriff von Cyber-Kriminellen effektiv schützen will, sollte Software nur von vertrauenswürdigen Quellen herunterladen und keine Drittanbieter-Webseiten nutzen. Sicherheitsexperten raten Verbrauchern zudem, vor jedem Download die Authentizität der Software zu überprüften. Auch Sicherheits-Patches und Updates sollten Verbraucher zeitnah installieren, damit Kriminelle nicht bereits bekannte Sicherheitslücken ausnutzen können, und sie sollten ihre Geräte mit einer zuverlässige Sicherheitslösung ausstatten, die vor unbekannten verdächtigen Aktivitäten und verschiedensten Bedrohungen schützt.
[1] https://securelist.com/copy-paste-heist-clipboard-injector-targeting-cryptowallets/109186/
[2] https://de.statista.com/infografik/22561/anteil-der-krypto-nutzer-in-ausgewaehlten-laendern/
