Security

Angriffe auf Bitcoin: Ist deine Wallet gefährdet?

Es war nur eine Frage der Zeit, bis sich Malware finden würde, die es auf Bitcoin und andere Krypto-Währungen abgesehen hat. Jetzt hat Kaspersky einen Trojaner gefunden, die die Wallets leer räumt.

17.11.2017 Quelle: t3n Tobias Weidemann
Bitcoin_teaser_1
Aufgepasst auf die Wallet (Quelle: Shutterstock/GlebStock)

Es war nur eine Frage der Zeit, bis sich Malware finden würde, die es auf Bitcoin und andere Krypto-Währungen abgesehen hat. Jetzt hat Kaspersky einen Trojaner gefunden, die die Wallets leer räumt.

Die Experten von Kaspersky Lab haben mit Cryptoshuffler eine Malware entdeckt, die Kryptowährungen aus Wallets entwendet, indem sie die Wallet-Adresse durch eine eigene ersetzt. So konnten Cyberkriminelle nach den Worten des IT-Sicherheitsunternehmens bisher fast 140.000 US-Dollar erbeuten – erwartungsgemäß aufgrund der hohen Verbreitung vor allem Wallets mit Bitcoin. Ziel sind darüber hinaus aber auch andere beliebte digitale Währungen wie Ethereum, Zcash, Dash oder Monero. Für letztere identifizierten die Cybersicherheitsexperten mit DiscordiaMiner auch einen neuen Trojaner zum Schürfen (Mining) von Kryptogeld. Darüber hinaus sind aktuell vermehrt Spam-Mails zu Kryptowährungen in Umlauf.

Bitcoin: Diese Spam-Mails solltest du gleich löschen

Im dritten Quartal identifizierten die Malware-Wächter von Kaspersky Lab vor allem drei Spam-Betrugsmaschen im Zusammenhang mit Kryptowährungen:

  • E-Mails, in denen Nutzer eine Einladung erhalten, eine spezielle Software für den Handel von Kryptowährungen zu installieren. Der angebotene Link führt dabei zu zweifelhaften Geschäftsoptionen.
  • E-Mails, in denen Nutzern Zinsen in Aussicht gestellt werden, wenn sie Geld auf eine spezielle Kryptowährungs-Wallet einzahlen – was nach der Einzahlung natürlich nicht passiert.
  • E-Mails, in denen Nutzern angeboten wird, mehr über Kryptowährungen und damit verbundene Profitoptionen zu erfahren, beispielsweise Workshops. Nutzer sollen glauben, dass es sich hier um ein seriöses Angebot handelt und zum Zahlen der Workshop-Gebühr gebracht werden.

Dass aktuell die organisierte Kriminalität offenbar auch die Krypto-Währungen und deren Besitzer ins Visier nimmt, verwundert nicht. Schließlich sind die angesichts ständig steigender Bitcoin-Stände aktuell schon zu Smalltalk- und Stammtisch-Gespräch geworden. Auch Anwender, die nicht unbedingt über ausreichendes Know-how im Umgang mit Blockchain-Technik und Geldanlagen verfügen, interessieren sich zunehmend für Bitcoin und Co.

"Kryptowährungen sind keine ferne Technologie mehr", so Sergey Yunakovsky, Malware-Analyst bei Kaspersky Lab. "Sie halten Einzug in unser Leben und verbreiten sich auf der ganzen Welt – und werden so für Nutzer zugänglicher und für Kriminelle attraktiver. Seit einiger Zeit sehen wir eine Zunahme von Malware-Angriffen, die auf verschiedene Arten von Kryptowährungen abzielen." Das Unternehmen erwartet, dass sich dieser Trend fortsetzen wird und rät zur Vorsicht: "Nutzer, die zu diesem Zeitpunkt Investitionen in Kryptowährungen in Erwägung ziehen, sollten sich daher Gedanken darüber machen, ob sie entsprechend geschützt sind."

Bitcoin-Wallet in Gefahr: Cryptoshuffler entführt Wallet-IDs

Doch was passiert da genau? Der Trojaner Cryptoshuffler ändert die Adressen der Wallets im Clipboard, einer Software zur kurzfristigen Speicherung von Daten des infizierten Gerätes. Solche Hijacking-Attacken auf Clipboards sind seit Jahren bekannt. Sie leiten Nutzer auf schädliche Webseiten weiter und zielen auf Online-Bezahlsysteme ab. Nach der Installation beginnt Cryptoshuffler mit der Überwachung des bei der Zahlung verwendeten Clipboards. Dabei werden die Nummern der Wallets kopiert und in die Zeile „Zieladresse“ der Software eingefügt, die zur Ausführung einer Transaktion verwendet wird.

Der Trojaner ersetzt dabei die Wallet des Nutzers durch eine eigene. Wenn der Nutzer die Wallet-ID in die Zieladressenzeile einfügt, ist dies also nicht die Adresse, an die ursprünglich das Geld gesendet werden sollte. Das Opfer sendet so Geld direkt an die Cyberkriminellen. Der Austausch im Clipboard findet aufgrund einer einfachen Suche nach Wallet-Adressen sofort statt: Der Großteil der Wallets hat eine feste Position in der Transaktionszeile und verwendet immer eine bestimmte Anzahl von Zeichen. Auf diese Weise können Eindringlinge problemlos reguläre Codes erstellen, um sie zu ersetzen.

Discordia-Miner schürft Kryptowährung Monero

Darüber hinaus haben die Experten einen weiteren Trojaner namens Discordia-Miner gefunden, der auf die Krypotowährung Monero abzielt und für den Upload und das Ausführen von Dateien von einem Remote-Server konzipiert wurde. Die genauen Bezeichnungen der blockierten Malware lautet übrigens „Trojan-Banker.Win32.CryptoShuffler.gen“ sowie „Trojan.Win32.DiscordiaMiner“. Neben einer stets aktuell gehaltenen Sicherheits-Software kommt es dabei natürlich auf gesunden Menschenverstand an. Gerade die oben beschriebenen Spam-Methoden dürften für viele versiertere Nutzer kein Risiko darstellen. Doch nicht alle Nutzer fallen eben unter diese Kategorie. Und so werden Cyberkriminelle in Zukunft wohl noch etliche Opfer finden.

Security Blockchain RSS Feed abonnieren