Das Cybersicherheitsunternehmen Kaspersky hat eine neuartige Betrugsmasche aufgedeckt, die es auf Kryptodiebe abgesehen hat. Die Masche lockt potenzielle Opfer mit scheinbar prall gefüllten Krypto-Wallets, nur um ihnen dann beim Zugriff auf die vermeintlichen Gelder zu entwenden. Diese raffinierte Vorgehensweise verdeutlicht die zunehmende Raffinesse von Cyberkriminellen im Bereich digitaler Vermögenswerte.
Laut Kaspersky geben sich Betrüger als unerfahrene Krypto-Nutzer aus, indem sie in YouTube-Kommentaren öffentlich Seed-Phrasen – die Schlüssel zum Zugriff auf Krypto-Wallets – teilen. Diese Kommentare, die von neu erstellten Konten verfasst werden, enthalten oft die Bitte um Hilfe beim Transfer von Geldern aus einer Wallet, die angeblich erhebliche Vermögenswerte enthält.
„Betrüger haben einen neuen Trick erfunden… Sie posten Seed-Phrasen für Krypto-Wallets in YouTube-Kommentaren mit Hilfe neu erstellter Konten“, erläuterte Kaspersky-Analyst Mikhail Sytnik in einem kürzlich erschienenen Blogbeitrag.
Unter Dieben gibt es keine Ehre – So funktioniert der Betrug mit dem privaten Schlüssel
Eine von Kaspersky beobachtete Wallet enthielt etwa 8.000 US-Dollar in USDT im Tron -Netzwerk. Um auf diese Gelder zuzugreifen, müsste ein Dieb zunächst TRX, den nativen Token der Blockchain, senden, um die Netzwerkgebühren zu decken.
Die Masche zielt vor allem auf Personen ab, die den vermeintlich „dummen“ Fehler anderer ausnutzen wollen. Sobald die Betrüger Zugriff auf die manipulierte Wallet haben, finden sie diese gefüllt mit USDT, einem an den US-Dollar gekoppelten TRC20-Token.
Da die Wallet nicht genügend TRX für Auszahlungen enthält, werden die Nutzer aufgefordert, Geld von ihren eigenen Wallets zu senden. Dadurch wird der „Siphon“ ausgelöst, der die TRX an die Adresse des Betrügers umleitet.
Die Betrüger haben das System manipuliert, und sobald die TRX gesendet werden, werden sie sofort an eine separate, von den Angreifern kontrollierte Wallet umgeleitet, sodass der Dieb mit leeren Händen dasteht.
Kaspersky verglich die Betrüger in seiner Analyse mit digitalen Robin Hoods, die es auf unethische Akteure im Kryptobereich abgesehen haben. Die eigentlichen Opfer bleiben jedoch diejenigen, die sich von ihrer Gier leiten lassen und ihre Vorsicht vernachlässigen.
Das Sicherheitsunternehmen warnt Krypto-Nutzer vor der wiederholten VerwendungdentSeed-Phrasen in mehreren Kommentaren. Dies könnte auf eine geplante und koordinierte Aktion zum Diebstahl ihrer Vermögenswerte hindeuten.
Betrügerische Kampagnen, die es auf Krypto-Nutzer abgesehen haben
Die Erkenntnisse von Kaspersky gehen über Betrugsmaschen mit Seed-Phrasen hinaus. Im Augustdentdas Global Emergency Response Team (GERT) des Unternehmens eine größere Betrugskampagne, die sich gegen Windows- und macOS-Nutzer weltweit richtete.
Diese Masche nutzt professionell gestaltete gefälschte Webseiten, um legitime Dienste wie Krypto-Plattformen, Online-Rollenspiele und KI-Tools nachzuahmen. Ziel dieser raffinierten Imitationen ist es, Opfer dazu zu verleiten, sensible Informationen preiszugeben oder Schadsoftware herunterzuladen.
„Die Korrelation zwischen verschiedenen Teilen dieser Kampagne und ihrer gemeinsamen Infrastruktur deutet auf eine gut organisierte Operation hin, die möglicherweise mit einem einzelnen Akteur oder einer Gruppe mit spezifischen finanziellen Motiven in Verbindung steht“, erklärte Ayman Shaaban, Leiter derdent Response bei Kasperskys GERT.
von Kaspersky durchgeführte Untersuchung der als „Tusk“ bezeichneten ergab , dass diese verschiedene Teiloperationen umfasst, die auf Krypto, Gaming und KI abzielen. Die schädliche Infrastruktur erstreckt sich zudem auf 16 weitere Themenbereiche, darunter entweder eingestellte oder neue, noch nicht gestartete Teilkampagnen.
Im Zuge der Ermittlungen aufgedeckte Schadcode-Sequenzen belegten die Kommunikation zwischen den Servern der Angreifer in russischer Sprache. Darin fanden sich Bezüge zum Begriff „Mammut“ („Мамонт“), einem Slangausdruck für „Opfer“ unter russischsprachigen Cyberkriminellen. Dieser sprachliche Hinweis trug zur Namensgebung der Kampagne bei.
Die Tusk-Kampagne nutzt Informationsdiebstahl-Malware wie Danabot und Stealc sowie Tools zur Überwachung der Zwischenablage, darunter auch Open-Source-Varianten in Go. Informationsdiebstahl-Malware extrahierttracvondentersetzen bösartige, den Angreifern kontrollierte Adressen
