{"id":31501,"date":"2024-07-30T17:32:10","date_gmt":"2024-07-30T15:32:10","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31501"},"modified":"2024-07-30T17:32:10","modified_gmt":"2024-07-30T15:32:10","slug":"cryptowallet-seed-phrase-fake-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cryptowallet-seed-phrase-fake-leaks\/31501\/","title":{"rendered":"\u0421ryptofalle f\u00fcr die Gierigen oder wie man einen Dieb beklaut"},"content":{"rendered":"

Wir haben mehrere Monate damit verbracht, \u00fcber einen neuen und sehr intelligenten Krypto-Betrug zu recherchieren, bei dem die Opfer langsam und listig dazu ermutigt wurden, eine sch\u00e4dliche Krypto-Management-App zu installieren. Die Betrogen waren jedoch nur dem Namen nach Opfer, da die Betreiber, wie einige digitale Robin Hoods, es auf andere Diebe abgesehen hatten. Wirf mit uns einen genauen Blick auf diese Betrugsmasche und erfahre mehr dar\u00fcber, wie du deine Kryptow\u00e4hrung sch\u00fctzen kannst<\/a>.<\/p>\n

Der erste K\u00f6der<\/h2>\n

Alles begann damit, dass ich eine ziemlich triviale weitergeleitete Telegram-Nachricht \u00fcber Kryptow\u00e4hrung erhalten habe. Andere h\u00e4tten es vielleicht ignoriert, aber als Leiter des Teams f\u00fcr Web-Content-Analysten bei Kaspersky kam mir das gleich verd\u00e4chtig vor und ich beschloss, mich damit zu befassen. Um die Erkennung zu umgehen, wurde die Nachricht als f\u00fcnf Sekunden langer Videoclip mit einem Screenshot angezeigt, der ein \u00fcberst\u00fcrztes, sehr g\u00fcnstiges Angebot von zwei lukrativen Krypto-Projekten mit entsprechenden Links enthielt. Der erste Link, der wahrscheinlich dazu gedacht war, dem Empf\u00e4nger ein falsches Gef\u00fchl der Sicherheit zu vermitteln, f\u00fchrte zu einer echten, aber weniger bedeutenden Krypto-B\u00f6rse\u00a0\u2013 wenn auch nur einer kleinen. Der wahre K\u00f6der versteckte sich hinter dem anderen Link.<\/p>\n

\"Der<\/a>

Der Screenshot mit der Verkaufsank\u00fcndigung des Krypto-Projekts ist in einen f\u00fcnf Sekunden langen Videoclip verpackt. Da ist bereits Vorsicht geboten!<\/p><\/div>\n

\u00a0<\/p>\n

Eine bequeme Serverst\u00f6rung<\/h2>\n

Anders als erwartet wurden beim Verfolgen des anderen Links keine sch\u00e4dlichen Inhalte angezeigt. Es war viel interessanter: Wenn du die Adresse eingibst in der Erwartung, eine Startseite zu sehen, zeigte der Browser eine Stammverzeichnisliste mit einigen verlockenden Dateinamen an. Es schien, als ob der Server falsch konfiguriert oder die Homepage aus Versehen gel\u00f6scht worden w\u00e4re, wodurch alle Daten des ahnungslosen Domain-Inhabers preisgegeben wurden. Du konntest auf eine beliebige Datei in der Liste klicken und ihren Inhalt direkt im Browser anzeigen, da alle Dateien g\u00e4ngige und einfach zu handhabende Formate wie TXT, PDF, PNG oder JPG hatten.<\/p>\n

\"Ein<\/a>

Ein Besucher betrachtet eine Liste mit Dateien im Stammordner. Es gibt keine einzige HTML-Datei<\/p><\/div>\n

\u00a0<\/p>\n

Dies gab dem Besucher das Gef\u00fchl, im Ordner mit pers\u00f6nlichen Daten eines reichen, aber d\u00e4mlichen Besitzers eines Krypto-Projekts gelandet zu sein. Die Textdateien enthielten Informationen zur Wallet, einschlie\u00dflich Seed-Phrasen, und die Bilder waren Screenshots, die den Beweis liefern sollten, dass eine gro\u00dfe Menge an Kryptow\u00e4hrung erfolgreich gesendet wurde, erhebliche Wallet-Guthaben und den verschwenderischen Lebensstil des Besitzers.<\/p>\n

\"Die<\/a>

Die Textdatei enth\u00e4lt sorgf\u00e4ltig zusammengestellte Adressen, Logins, Passw\u00f6rter, Seed-Phrasen, Wiederherstellungsschl\u00fcssel, PINs und private Schl\u00fcssel<\/p><\/div>\n

\u00a0<\/p>\n

Einer der Screenshots hatte im Hintergrund ein YouTube-Video, das erkl\u00e4rt, wie man mit Bitcoin Yachten und Ferraris kauft. Ein PDF-Katalog dieser Yachten war ganz leicht im selben Verzeichnis zu finden. Kurz gesagt, das war ein wirklich saftiger K\u00f6der.<\/p>\n

\"Der<\/a>

Der Bildschirm zeigt eine Momentaufnahme aus dem Leben eines reichen Faulenzers. Wiesieht also der RICHTIGE WEG aus, um Ferrari und Yacht mit Bitcoin zu kaufen?<\/p><\/div>\n

\u00a0<\/p>\n

Echte Geldb\u00f6rsen und Bargeld<\/h2>\n

Der Clou an diesem Betrug ist, dass die Wallet-Details echt sind und man tats\u00e4chlich auf die Wallets zugreifen und beispielsweise den Verlauf der Exodus-Transaktionen oder die Verm\u00f6genswerte in den anderen Wallets im Wert von fast 150.000\u00a0US-Dollar einsehen kann, so die DeBank.<\/p>\n

\"Die<\/a>

Die Exodus-Brieftasche ist leer, aber sie ist echt und wurde vor kurzem von jemandem verwendet<\/p><\/div>\n

\u00a0<\/p>\n

Du k\u00f6nntest jedoch nichts abheben, da das Geld fest angelegt<\/a>, also im Wesentlichen im Konto gebunden ist. Die Skepsis des Besuchers ist dadurch jedoch deutlich geringer: Es scheint sich eher um unachtsam durch ein Datenleck preisgegebene echte Daten, nicht um Spam oder Phishing zu handeln. Au\u00dferdem sind nirgendwo externe Links oder sch\u00e4dliche Dateien zu sehen\u00a0\u2013 nichts, weswegen man misstrauisch werden k\u00f6nnte!<\/p>\n

\"Die<\/a>

Die Betr\u00e4ge in den anderen Wallets sind beachtlich. Schade, dass das Geld angelegt (unzug\u00e4nglich) ist<\/p><\/div>\n

\u00a0<\/p>\n

Wir haben die Website zwei Monate lang beobachtet und keinerlei Ver\u00e4nderungen festgestellt. Die Betr\u00fcger schienen darauf zu warten, dass sich eine kritische Masse interessierter Benutzer aufbaut, w\u00e4hrend sie ihr Verhalten mithilfe von Webserver-Analysen verfolgen. Erst nach dieser langen Aufw\u00e4rmphase gingen sie zur n\u00e4chsten Phase des Angriffs \u00fcber.<\/p>\n

Neue Hoffnung<\/h2>\n

Die dramatische zweimonatige Pause wurde endlich mit einem Update beendet: einem neuen Telegram-Screenshot, der angeblich eine erfolgreiche Monero-Auszahlung zeigt. Wenn man sich den Screenshot genauer ansieht, erkennt man die Wallet-App \u201eElectrum-XMR\u201c mit einem Transaktionsprotokoll und einem ansehnlichen Guthaben von fast 6000 Monero-Token (XMR), das zum Zeitpunkt der Ver\u00f6ffentlichung etwa eine Million Dollar wert ist.<\/p>\n

\"Die<\/a>

Die aktive Phase beginnt: ein Wallet, das scheinbar etwa eine Million Dollar enth\u00e4lt<\/p><\/div>\n

\u00a0<\/p>\n

Durch einen gl\u00fccklichen Zufall tauchte direkt neben dem Screenshot eine neue Textdatei mit der Seed-Phrase f\u00fcr das Wallet auf.<\/p>\n

\"Die<\/a>

Die Seed-Phrase f\u00fcr das Wallet war der K\u00f6der<\/p><\/div>\n

\u00a0<\/p>\n

Zu diesem Zeitpunkt beeilte sich jeder, der unehrlich genug war, eine Electrum-Wallet herunterzuladen, um sich beim Konto des leichtsinnigen Besitzers anzumelden und sich das restliche Geld zu beschaffen. Pech gehabt: Electrum unterst\u00fctzt nur Bitcoin, nicht Monero, und es ist ein privater Schl\u00fcssel (und keine Seed-Phrase) erforderlich, um wieder Zugriff auf ein Konto zu erhalten. Beim Versuch, den Schl\u00fcssel aus der Seed-Phrase wiederherzustellen, sagte jeder legitime Konverter, dass das Format der Seed-Phrase ung\u00fcltig sei.<\/p>\n

Doch Gier tr\u00fcbte das Urteilsverm\u00f6gen der Benutzer: Schlie\u00dflich ging es um eine Million Dollar, und sie mussten sich beeilen, bevor jemand anderes sie stahl. Die J\u00e4ger nach dem schnellen Geld fingen an, \u201eElectrum XMR\u201c oder einfach \u201eElectrum Monero\u201c zu googeln. Was auch immer es war, das beste Ergebnis war eine Website, die angeblich \u00fcber einen Electrum-Fork handelte, der Monero unterst\u00fctzte.<\/p>\n

<\/a>

Die \u201erichtige\u201c Version des Wallet erscheint oben in den Suchergebnissen<\/p><\/div>\n

\u00a0<\/p>\n

Das Design \u00e4hnelte dem der urspr\u00fcnglichen Electrum-Website und enthielt in typischer Open-Source-Manier alle Arten von Beschreibungen, Links zu GitHub (dem urspr\u00fcnglichen Electrum-Repository\u00a0\u2013 nicht Electrum-XMR), einem Hinweis, der ausdr\u00fccklich darauf hinweist, dass dies ein Fork sei, der Monero unterst\u00fctzt, mit praktischen Direktlinks zu den Installationsprogrammen f\u00fcr macOS, Windows und Linux.<\/p>\n

\"Die<\/a>

Die Website f\u00fcr die gef\u00e4lschte Wallet-App ist sehr gut gemacht<\/p><\/div>\n

\u00a0<\/p>\n

An diesem Punkt wird der J\u00e4ger unwissentlich zur Beute. Durch das Herunterladen und Installieren von Electrum-XMR wird der Computer mit Schadsoftware infiziert, die von Kaspersky als Backdoor.OLE2.RA-Based.a<\/em> identifiziert wurde und Angreifern einen verdeckten Remote-Zugriff erm\u00f6glicht. Im n\u00e4chsten Schritt durchsuchen sie wahrscheinlich den Inhalt des Ger\u00e4ts und stehlen Krypto-Wallet-Daten und andere wertvolle Informationen.<\/p>\n

Unsere Sicherheitsl\u00f6sung<\/a>\u00a0h\u00e4tte die sch\u00e4dliche Website blockiert, und auch den Versuch, den Trojaner zu installieren, aber Krypto-J\u00e4ger, die begierig darauf sind, an das Geld anderer Leute zu kommen, sind unter unseren Benutzern kaum zu finden.<\/p>\n

\"Unsere<\/a>

Unsere Sicherheitsfunktionen blockieren die sch\u00e4dliche Website und erst recht den Versuch, den Trojaner zu installieren<\/p><\/div>\n

\u00a0<\/p>\n

Pl\u00f6tzlich eine zweite Iteration<\/h2>\n

Einige Zeit sp\u00e4ter, als wir mit der Untersuchung dieser Social-Engineering-Leistung fertig waren, erhielten wir einen weiteren K\u00f6der, was keine \u00dcberraschung war. Diesmal wechselten die Betr\u00fcger vom langsamen Vorgaren zu lodernder Flamme. Der Screenshot zeigte ein gef\u00e4lschtes Wallet mit einem gro\u00dfen Guthaben neben einer ge\u00f6ffneten Textdatei mit einer F\u00fclle von pers\u00f6nlichen Informationen und einem freundlicherweise hinzugef\u00fcgten Link zu einer sch\u00e4dlichen Website. Es sieht so aus, als ob sich diese Betrugsmasche bew\u00e4hrt hat, und wir werden viele \u00e4hnliche Angriffe erleben.<\/p>\n

\"In<\/a>

In Version zwei kamen die Betr\u00fcger direkt zur Sache, indem sie alle relevanten Informationen in einem Screenshot sammeln<\/p><\/div>\n

\u00a0<\/p>\n

Den Angriff erkennen<\/h2>\n

Opfer des oben beschriebenen Betrugs wecken keinerlei Mitleid, wenn man sieht, wie sie den K\u00f6der schluckten und versuchten, das Geld anderer Leute zu stehlen. Die Betr\u00fcger lassen sich jedoch immer wieder neue Tricks einfallen, und das n\u00e4chste Mal wird dir m\u00f6glicherweise eine vorgeblich ethische Methode angeboten, um Geld zu verdienen. Zum Beispiel k\u00f6nntest du aus Versehen einen Screenshot erhalten, der f\u00fcr einen lukrativen Airdrop wirbt, mit dem Link direkt in der Adressleiste\u2026<\/p>\n

Bleibe also wachsam und betrachte alle Informationen mit Vorsicht. Jede Phase des Angriffs war auf ihre Weise verd\u00e4chtig. Die Verkaufsanzeige auf der Website wurde in Form eines Videoclips mit einem Screenshot pr\u00e4sentiert, offensichtlich um die Anti-Spam-Algorithmen zu umgehen. Eine Website, die nur unverschl\u00fcsselte Textdateien mit Krypto-Wallet-Daten enth\u00e4lt, sieht zu sch\u00f6n aus, um wahr zu sein. Die Domain, auf der sich angeblich der Krypto-Wallet-Fork befindet, war nur zwei Monate vor dem Angriff registriert worden. Am wichtigsten ist jedoch, dass die betr\u00fcgerische Krypto-Landschaft die Verwendung wenig bekannter Wallet-Apps zu einem inakzeptablen Risiko macht. Befolge daher bitte die folgenden Schritte:<\/p>\n