Ethereum -Abfluss-Malware, getarnt als Trading-Bots, aufgedeckt

SentinelLABS berichtete über Kryptowährungsbetrug, bei dem gefälschte Trading-Bots eingesetzt werden, um Ethereum und andere Coins zu stehlen. Die Betrüger nutzen offenbar alte YouTube-Konten und strategisch platzierte Kommentare, um einen falschen Eindruck von Seriosität zu erwecken und Krypto-Händler über soziale Medien und Videoinhalte anzusprechen.

Die Angreifer bewerben gefälschte Krypto-Trading-Bots über YouTube-Videos, die sich an Nutzer richten. In den Videos wird erklärt, wie man Smarttracauf dem Remix Solidity Compiler einsetzt. Die Betrüger präsentieren diese Tools als legitime Arbitrage- oder MEV-Bots zur Gewinnerzielung.

Betrüger nutzen YouTube-Videos, um gefälschte MEV-Handelsbots zu verbreiten

Die Videos zeigen, dass die Betrüger gezielt ältere YouTube-Konten nutzen, um glaubwürdig zu wirken. Zunächst veröffentlichen sie Playlists mit Krypto-News und themenfremde Inhalte, um die Platzierung ihrer Konten in den Suchergebnissen zu verbessern und sie so als vertrauenswürdige, seriöse Kryptoquellen erscheinen zu lassen.

Viele Videos wirken aufgrund ihrer Audio- und Videoeigenschaften KI-generiert. Die Sprecher haben zudem unnatürliche Stimmlagen und blicken ausschließlich direkt in die Kamera. Seitenansichten kommen in diesen gefälschten Präsentationen nicht vor.

KI-generierte Inhalte sind in der Regel kostengünstiger als die Beauftragung von menschlichen Schauspielern für Videos. Das erfolgreichste Betrugsvideo wurde jedoch nicht mithilfe von KI erstellt. Mit diesem Video wurden den Opfern über 900.000 US-Dollar gestohlen.

Ein YouTube-Kanal, @todd_tutorials, veröffentlichte eine Schritt-für-Schritt-Anleitung zur Implementierung schädlichertrac. Das Video wurde nach Beginn der Forschung auf privat gestellt, wies aber Merkmale von KI auf. Ein anderer Kanal, @SolidityTutorials, präsentierte ähnliche Inhalte in Präsentationen vom April 2024.

@Jazz_Braze erstellte das erfolgreichste Betrugsvideo mit dem Titel „MEV Bot Tutorial“. Das Video erreichte über 387.000 Aufrufe und wirkte seriöser als andere. Der Account lud zwischen 2022 und 2024 fast 100 Videos zu Popkulturthemen hoch.

Der Kontoinhaber hat sich wahrscheinlich im Laufe der Zeit durch regelmäßige Uploads Glaubwürdigkeit erarbeitet. Alte YouTube-Konten werden auf Telegram-Kanälen für 6 bis Tausende von Dollar gehandelt. Die Kommentarspalten sind dank Moderation überwiegend positiv, negatives Feedback wirdmaticherausgefiltert.

Bösartige Smarttracverbergen Angreiferadressen

Die gefälschten Trading-Bots enthalten schädliche Smarttrac, die in der Programmiersprache Solidity geschrieben sind. Diese Contractstracauf Ethereum und andere Blockchain-Netzwerke ab, um Gelder zu stehlen. Angreifer verwenden verschiedene Verschleierungstechniken, um ihre Wallet-Adressen vor den Opfern zu verbergen.

Die vom Angreifer kontrollierte Wallet-Adresse bleibt im Smart-trac-Code verborgen, was ihre Erkennung erschwert. SentinelLABS fand mehrere Verschleierungsmethoden in verschiedenentrac, darunter XOR-Operationen. Auch String-Verkettung und große Dezimalumwandlungen verschleiern die Wallets des Angreifers effektiv.

Dietracerscheinen als legitime MEV-Bots, die Preisunterschiede an verschiedenen Börsen überwachen. Die Opfer glauben, profitable Arbitrage-Tools für den automatisierten Handel einzusetzen.

Es existieren mehrere eindeutige Angreiferadressen, wodurch unklar bleibt, wie viele Akteure aktiv sind. Dieselbe Wallet tauchte wiederholt in mehreren präparierten Smarttracauf.

Die Kampagne generierte über 900.000 US-Dollar an gestohlenem Ethereum

Die Betrugskampagnen erzielten je nach Operation unterschiedliche finanzielle Erfolge. Ein Betrugsfall vom April 2025 erbeutete von den Opfern 7,59 Ethereum im Wert von etwa 28.000 US-Dollar. Mit dem Videobetrug „SolidityTutorials“ wurden 4,19 ETH im Gesamtwert von rund 15.000 US-Dollar erbeutet.

Die Videokampagne von Jazz_Braze erwies sich als die profitabelste und erzielte enorme Gewinne. Die Wallet des Angreifers sammelte 244,9 ETH im Wert von ca. 902.000 US-Dollar austrac. Diese Gelder wurden später in großen Summen an andere Adressen abgehoben.

Die gestohlenen Gelder wurden nach der Einziehung auf 24 verschiedene Ethereum Adressen transferiert. Die Angreifer verteilten das Geld auf mehrere Wallets, um Entdeckung und traczu vermeiden. Dieses Verteilungsmuster deutet auf ausgeklügelte Geldwäscheoperationen hinter den Betrügereien hin.

Seit Anfang 2024 laufen verschiedene Betrugskampagnen mit unterschiedlichem Erfolg. Die Betrüger zielen weiterhin über soziale Medien auf neue Opfer ab. Um einen falschen Anschein von Seriosität zu wahren, manipulieren die Angreifer die Kommentarspalten, indem sie negatives Feedback löschen.

Nutzer weichen oft auf Plattformen wie Reddit aus, wenn YouTube-Kommentare zensiert werden.