Executive Summary

Ein nigerianischer Prinz braucht Ihre Hilfe. Oder ein Kollege schickt Ihnen eine SMS mit der dringenden Aufforderung, Geschenkkarten zu schicken. Wörter wie „Betrug“ und „Phishing“ erinnern oft an einfache Betrügereien, mit denen nur Dumme getäuscht werden können. In Wirklichkeit entwickeln Bedrohungsakteure ausgefeilte Taktiken, Techniken und Verfahren (TTPs), um Benutzer ins Visier zu nehmen, die glauben, sie seien zu schlau, um sich täuschen zu lassen.

„Crypto Drainer“ sind bösartige Skripte, die wie E-Skimmer funktionieren und mit Phishing-Techniken eingesetzt werden, um die Krypto-Assets der Opfer zu stehlen. Die mit Crypto Drainern bereitgestellten Phishing-Seiten imitieren häufig beliebte Kryptodienste und verwenden gängige Anwendungen und Erweiterungen von Drittanbietern (wie etwa MetaMask), die für die legitimen Dienste, die diese Phishing-Seiten imitieren, nicht ungewöhnlich sind.

Wir haben eine einsatzbereite Crypto-Drainer-Phishing-Seite entdeckt, die von einem Bedrohungsakteur in einem hochrangigen Darknet-Forum beworben wurde. Diese Phishing-Seite gibt vor, nicht fungible Token (NFTs) zu prägen und verwendet Dienste von Drittanbietern, die im Kryptobereich häufig verwendet werden. Nach der Analyse dieses Krypto-Drainers kamen wir zu dem Schluss, dass er effektiv zum Diebstahl von Krypto-Assets aus kompromittierten Krypto-Wallets verwendet werden kann. Sind Krypto-Wallets erst einmal kompromittiert, gibt es keine Schutzmechanismen mehr, um den Diebstahl von Krypto-Assets zu verhindern. Seit ihrem ersten Auftauchen im Jahr 2022 hat die Popularität von Crypto-Drainer-Phishing-Seiten stark zugenommen, und Crypto-Drainer-Phishing-Seiten werden wahrscheinlich auch im Jahr 2023 noch relevant, effektiv und weit verbreitet sein.

Wichtige Urteile

• Auf Phishing-Seiten, die beliebte Kryptodienste imitieren, werden Crypto Drainer eingesetzt, um Krypto-Assets von ahnungslosen Opfern zu stehlen. Sie nutzen legitime Erweiterungen und Anwendungen aus, die häufig mit den Kryptodiensten verwendet werden, die die Phishing-Seiten imitieren.
• Wir haben eine einsatzbereite Crypto-Drainer-Phishing-Seite analysiert, die von einem Bedrohungsakteur in einem hochrangigen Darknet-Forum beworben wurde. Diese Phishing-Seite verleitet Opfer mit einem Angebot zum Prägen von NFTs dazu, ihre Wallets zu verbinden. Sobald Opfer versuchen, NFTs zu prägen, leitet der Krypto-Drainer die verfügbare Kryptowährung und die gewünschten NFTs in die Wallet des Angreifers ab.
• Crypto-Drainer-Projekte erfreuen sich zunehmender Beliebtheit und eine wachsende Anzahl einsatzbereiter Crypto-Drainer-Phishing-Pakete könnte es Bedrohungsakteuren ermöglichen, sie schnell und in großem Umfang auszuführen.

Hintergrund

Obwohl bei der Entwicklung der Blockchain-Technologie von Grund auf auf Sicherheit geachtet wurde, bestehen für Bedrohungsakteure dennoch Möglichkeiten, Opfer um ihre Krypto-Assets zu betrügen. „Crypto Drainer“ sind bösartige Dateien, die ähnlich wie E-Skimmer funktionieren, indem sie automatisch Übertragungen von Krypto-Assets ausführen.

Crypto Drainer werden häufig auf Phishing-Seiten eingesetzt, die beliebte Kryptodienste imitieren. Beispiele für die Kryptodienste, die eine Crypto-Drainer-Phishing-Seite imitieren könnte, sind Kryptowährungsbörsen oder Plattformen für nicht fungible Token (NFT). Wichtig ist, dass Crypto-Drainer-Phishing-Seiten oft Dienste oder Erweiterungen von Drittanbietern (wie etwa MetaMask) verwenden, die häufig mit den Krypto-Diensten verwendet werden, die sie imitieren. Die Verwendung legitimer Dienste auf Crypto-Drainer-Phishing-Seiten kann die Wahrscheinlichkeit erhöhen, dass die Phishing-Seite den „Betrugs-Lackmustest“ eines ansonsten versierten Benutzers besteht.