Ethereum Kernentwickler Zak Cole wurde kürzlich Opfer eines Phishing-Angriffs. Der Angreifer tarnte einen Link als Einladung zu einem Podcast. Laut Zak nutzte der Angriff gefälschte Domains und ein schädliches Installationsprogramm, um Krypto-dentund Daten von seinem Computer zu stehlen.
Cole verfasste am späten Montag einen 21-teiligen Thread auf X, in dem er zunächst beschrieb, wie der Betrug mit einer Direktnachricht auf X begann, in der er eingeladen wurde, „unserem Podcast beizutreten!“
21.02.
— zak.eth (@0xzak) 15. September 2025
Alles begann mit einer Twitter-Direktnachricht: „Mach bei unserem Podcast mit!“
Der Absender (@0xMauriceWang) gab sich als Mitarbeiter von @theempirepod. Nach kurzem Überfliegen wirkte alles seriös, also stimmte ich zu. Dann kam eine E-Mail von [email protected] mit einem Link zu @StreamYard. Der Text lautete… pic.twitter.com/fEvazOVFs5
Der Absender, der auf der Social-Media-Plattform den Benutzernamen @0xMauriceWang verwendete, gab sich als Vertreter des Empire-Podcasts von Blockwork aus und schickte anschließend eine E-Mail von einer Domain, die laut Zak „wie eine legitime Podcast-Domain“ aussah
Ein Phisher versuchte, Zak bei der Installation einer schädlichen App zu „helfen“
Laut einem Entwickler des Ether-Kerns enthielt die E-Mail einen Link, der als streamyard.com angezeigt wurde, tatsächlich aber auf streamyard.org verlinkte. Als Cole darauf klickte, erschien die Fehlermeldung „Fehler beim Beitritt“ und er wurde aufgefordert, eine Desktop-Anwendung herunterzuladen, um fortzufahren.
In den Screenshots, die Cole in seinem X-Thread teilte, lehnte er die Installation zunächst aufgrund der Sicherheitsrichtlinien seines Unternehmens ab, aber der Angreifer bat ihn inständig, sie „nur dieses eine Mal“ hinzuzufügen, und schickte ihm sogar ein Video-Tutorial, um zu demonstrieren, wie man die vermeintliche App installiert.
„Hey, das ist StreamYard, die haben über 3 Millionen Nutzer. Ich hab auch einen Firmenlaptop, aber alles gut. Die Browserversion funktioniert kaum, vielleicht einer von 20 Versuchen klappt. Ich bin mir ziemlich sicher, die behalten die nur aus Marketinggründen, aber in der Praxis nutzt sowieso jeder die Desktop-App. Viel stabiler…“, hieß es in der Nachricht.
Da bemerkte Cole „überall Warnsignale“ und lud das Paket auf einen kontrollierten Laborrechner anstatt auf seinen Arbeitscomputer herunter.
In der DMG-Datei fand er eine versteckte Mach-O-Binärdatei namens „.Streamyard“, einen Bash-Loader und ein gefälschtes Terminal-Symbol, das die Benutzer dazu verleiten sollte, es per Drag & Drop auf die Systemebene zu ziehen.
Er beschrieb den Loader als eine „russische Matrjoschka des Unsinns“ und erklärte, wie dieser Base64-Fragmente verknüpfte, sie mit einem Schlüssel entschlüsselte, das Ergebnis neu kodierte und ausführte. Jeder Schritt diente dazu, die Erkennung durch Antivirenprogramme zu umgehen.
„Offline dekodiert, war Stage2 ein AppleScript, das das eingebundene Volume fand, .Streamyard nach /tmp/.Streamyard kopierte, die Quarantäne mit xattr -c entfernte, chmod +x anwendete und es dann ausführte. Leise, präzise und tödlich“, erklärte der Entwickler und notierte die Codezeile.
Cole fügte hinzu, dass, wenn ein Opfer macOS Gatekeeper deaktiviert oder auf den Phishing-Terminal-Drag-Trick hereingefallen wäre, die Malware unbemerkt alles exfiltriert hätte, einschließlich Passwörter, Krypto-Wallets, E-Mails, Nachrichten und Fotos.
Ein Gespräch mit dem Angreifer enthüllt, dass Malware-Dienste in Anspruch genommen wurden
Statt die Operation zu stoppen, nahm Cole an einem Live-Anruf mit dem Betrüger teil, nachdem er um Hilfe gebeten hatte. Dieser wirkte nervös und las von einem Skript ab, während er versuchte, ihn durch die gefälschte Installation zu führen.
Während der Videokonferenz begann der Ether-Programmierer, seinen Bildschirm zu teilen und scrollte durch einen Ordner mit expliziten Kim Jong Un-Videos, um den Angreifer aus dem Konzept zu bringen.
Als er nachfragte, warum es nicht funktionierte, gab der Betrüger zu, nicht Teil einer staatlich unterstützten Operation zu sein, sondern einer aktiven Hacker-Community anzugehören, die ein Phishing-Kit für etwa 3.000 Dollar im Monat gemietet hatte.
Cole merkte an, dass der Angreifer umgangssprachliche Ausdrücke wie „Kumpel“ verwendete, um die Opfer zu täuschen und ihnen vorzugaukeln, er befinde sich in Großbritannien oder in der Nähe der USA. Der Angreifer gab außerdem zu, die Infrastruktur nicht direkt zu kontrollieren und die Payload-Domains nicht verwalten zu können; er nutze einen kostengünstigen Cyberkriminalitätsdienst
14/21
— zak.eth (@0xzak) 15. September 2025
Der Clou war, dass sie https://t.co/3gJrz4EVIl für die Auslieferung (load.*.php?call=stream-Endpunkte) und https://t.co/NqE3HGJVms (@streamyardapp) als Köder verwendeten. Beide sind nun gesperrt (danke an @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
Laut den Erkenntnissen des Crowdsourcing-Unternehmens VirusTotal nutzten die Angreifer die Domain lefenari.com, die Schadsoftware über programmierte Endpunkte verbreitete, sowie streamyard.org als Köder. Beide Domains wurden inzwischen mit Unterstützung des Cybersicherheitsunternehmens Security Alliance deaktiviert.
