Krypto-Wallets unter Beschuss: Social Scams aufgedeckt

Kryptowährungsnutzer stehen erneut im Fadenkreuz einer immer raffinierteren Cybercrime-Kampagne. Laut neuen Erkenntnissen von Darktrace nutzen böswillige Akteure soziale Medien, gefälschte Startup-Unternehmen und legitime Plattformen, um Nutzer zum Download von Malware zu verleiten, die ihr Geld leert.

Dieses ausgeklügelte Social-Engineering-System, das Ende 2024 erstmals ans Licht kam, hat sich zu einem weitläufigen Netzwerk aus falschen Identitäten, nachgeahmten Technologiefirmen und waffenfähigen Kommunikationskanälen entwickelt, die alle darauf ausgelegt sind, digitale Vermögenswerte zu stehlen. Durch die Nachahmung der Ästhetik und des Verhaltens echter KI, Gaming und Web3 Unternehmen ist es Betrügern gelungen, die Abwehrmechanismen Hunderter ahnungsloser Benutzer zu durchbrechen.

Eine bekannte, aber sich weiterentwickelnde Bedrohung

Vor fast einem Jahr hat das Cybersicherheitsunternehmen Cado Security Labs deckte eine Kampagne auf, die darauf abzielte Web3 Mitarbeiter mit betrügerischen Meeting-Plattformen. Die sogenannte „Meeten“-Kampagne nutzte gefälschte Videokonferenz-Software, um die Schadsoftware Realst zu verbreiten. Opfer wurden unter dem Deckmantel von Partnerschafts- oder Investitionsgesprächen zu gefälschten Meetings eingeladen. Nach dem Herunterladen der Software waren ihre Geräte kompromittiert.

Darktrace hat nun bestätigt, dass diese Kampagne auch im Jahr 2025 aktiv bleibt. Die Taktiken wurden über Video-Apps hinaus ausgeweitet und umfassen nun auch gefälschte KI, Spiele und Social-Media-Unternehmen. 

Tara Gould, eine Darktrace-Forscherin, angegeben dass diese bösartigen Operationen „KI, Gaming und Web3 Firmen“, die gefälschte Social-Media-Konten und Projektdokumentationen verwenden, die auf legitimen Plattformen gehostet werden.

Fiktive Startups, reale Konsequenzen

Das Drehbuch ist beunruhigend detailliert. Cyberkriminelle konstruieren ganze Fake-Unternehmen, komplett mit überzeugenden Websites, Blog-Posts, whitepapers und sogar gefälschte Mitarbeiterprofile. X (früher Twitter), Medium, GitHub und Notion werden routinemäßig zum Hosten von Projektinhalten, technischer Dokumentation und Roadmaps verwendet.

Einige der überzeugendsten Betrügereien basieren auf kompromittierten, verifizierten X-Konten, die realen Personen oder Firmen gehören. Diese Konten mit Tausenden von Followern und jahrelanger Aktivität verleihen den Betrügern Glaubwürdigkeit. 

Sobald ein gefälschtes Unternehmen gegründet ist, starten die Angreifer umfassende Marketingmaßnahmen. Ihre Feeds füllen Beiträge über Meilensteine der Softwareentwicklung, Eventauftritte und Merchandise-Stores, um die Authentizität zu erhöhen.

Ein prominentes Beispiel ist ein fiktives Blockchain-Spielestudio namens „ Ewiger Verfall .“ Das gefälschte Unternehmen verwendete bearbeitete Fotos, um den Eindruck zu erwecken, auf großen Konferenzen zu präsentieren, obwohl es ein solches Spiel gar nicht gab. Sein GitHub-Konto enthielt geklonte Open-Source-Projekte, getarnt als Originalcode. Sogar ein Eintrag im britischen Companies House wurde gefälscht, indem er auf ein ähnlich benanntes echtes Unternehmen verwies.

Wie Opfer gezielt angegriffen werden

Der Angriff beginnt oft auf Plattformen wie X, Discord oder Telegram. Ein vermeintlicher Mitarbeiter meldet sich und bietet dem Opfer die Möglichkeit, im Austausch gegen Kryptowährung frühe Software zu testen. 

Das Opfer wird auf eine Download-Seite weitergeleitet, erhält einen Registrierungscode und wird zur Installation der Anwendung aufgefordert. Je nach System lädt es entweder eine macOS-DMG-Datei oder eine Windows Electron-App herunter. Diese Binärdateien enthalten Realst oder ähnliche Stealer-Malware.

Von dort aus infiltriert die Malware unbemerkt das System. Sie extrahiert Browserdaten, Authentifizierungstoken, Passwörter und vor allem private Schlüssel für Krypto-Wallets. Benutzer bemerken die Kompromittierung ihrer Wallets oft erst, wenn ihr Guthaben verschwunden ist.

Die GrassCall-Variante

Der Angriffsvektor ist nicht unverändert geblieben. Eine ähnliche Kampagne namens „ Grasruf ” ist kürzlich aufgetaucht und zielt auf Arbeitssuchende in der Web3 Die Malware war in eine betrügerische Meeting-App eingebettet, die mit gefälschten Stellenanzeigen und Vorstellungsgesprächen beworben wurde. Opfer, die die Software heruntergeladen hatten, ermöglichten der Malware unwissentlich den Zugriff auf vertrauliche Daten auf ihren Geräten.

Diese Variante, die einem russischsprachigen „Traffer-Team“ namens Crazy Evil zugeschrieben wird, nutzte aufwendige gefälschte Firmennamen. In einem Fall gaben sich die Betrüger als „ChainSeeker.io“ aus und erstellten eine ganze Reihe gefälschter Social-Media-Konten und professioneller Websites. Sie bezahlten sogar für Premium-Einträge auf Jobportalen wie LinkedIn, WellFound und CryptoJobsList, um Web3 Profis in ihre Falle tappen.

Opfer, die an diesen gefälschten Interviews teilnahmen, mussten bald feststellen, dass ihre Geldbörsen leer waren. Betroffene gründeten eine Telegram-Supportgruppe, die Ratschläge zur Entfernung von Malware und zur Systemwiederherstellung anbot.

Ein Weckruf im Wert von 650 Millionen Dollar

Das Risiko beschränkt sich nicht nur auf Einzelpersonen. Auch die Bundesbehörden gehen gegen groß angelegte Betrügereien im Kryptobereich vor. Anfang des Jahres veröffentlichte das US-Justizministerium Anklage gegen Michael Shannon Sims und Juan Carlos Reynoso, die mutmaßlichen Drahtzieher von OmegaPro. ein globales Krypto-Pyramidensystem .

OmegaPro war zwischen 2019 und 2023 aktiv und versprach durch Devisenhandel eine Rendite von 300 % über 16 Monate. Investoren wurden über soziale Medien angelockt. Sims und Reynoso präsentierten luxuriöse Lebensstile und projizierten sogar das Firmenlogo auf den Burj Khalifa, um Seriosität vorzutäuschen.

Guy Ficco, Leiter der Kriminalpolizei des IRS, erklärte, der Betrug habe „finanzielle Freiheit versprochen, aber den finanziellen Ruin gebracht“. Den beiden Männern droht nun eine Anklage wegen Verschwörung zum Überweisungsbetrug und Geldwäsche. Beiden drohen bis zu 20 Jahre Gefängnis.

Nachdem OmegaPro behauptet hatte, gehackt worden zu sein, leitete es die Opfer auf eine neue Plattform, Broker Group, um, von der die Benutzer ebenfalls keine Gelder abheben konnten.

Die Rolle sozialer Medien bei Finanzkriminalität

Die Hartnäckigkeit und Effektivität dieser Betrügereien unterstreicht das düstere Potenzial von Social-Media-Plattformen, Finanzkriminalität zu begünstigen. Durch die Kombination von verifizierten Konten, KI-generierten Inhalten, geklonten Websites und gestohlenem Code schaffen diese Betrüger Ökosysteme, die reale Unternehmen stark nachahmen. Die Nutzung von Plattformen wie GitHub und Notion verleiht der Masche technische Legitimität.

Plattformen wie X und Discord ermöglichen die direkte Kommunikation mit potenziellen Opfern. Der informelle Charakter dieser Plattformen verringert oft die Skepsis, insbesondere im Krypto- und Web3 Gemeinschaften, in denen soziales Engagement und Zusammenarbeit an der Tagesordnung sind.

Warnungen und Abwehrmaßnahmen

Cybersicherheitsexperten raten Nutzern zur Wachsamkeit, wenn sie für Betatests oder Stellenangebote im Zusammenhang mit Kryptoprojekten angesprochen werden. Selbst wenn ein Projekt seriös erscheint, sollten Nutzer Unternehmensunterlagen, Domänenregistrierungen und den Verlauf von Social-Media-Konten überprüfen. Das Herunterladen von Software aus unbekannten Quellen sollte gänzlich vermieden werden, es sei denn, die Überprüfung erfolgt über vertrauenswürdige Kanäle.

Joao Wedson, CEO von Alphractal, warnte Nutzer, dass „solche Angriffe mit geringem Volumen leicht unbemerkt bleiben“, aber dennoch eine erhebliche Bedrohung darstellen. Indem sie reale Softwareunternehmen nachahmen, nutzen diese Kampagnen nicht nur technische Schwachstellen, sondern auch das menschliche Vertrauen aus.

Zusammenfassend

Das Leeren von Krypto-Wallets durch ausgeklügelte Social-Media-Betrügereien ist kein neues Phänomen, wird aber immer gefährlicher und weitreichender. Der Aufstieg von KI und dezentraler Finanzwelt hat die Angriffsfläche für Betrüger vergrößert und ermöglicht es ihnen, komplexe Lügen über mehrere Plattformen hinweg zu konstruieren.

Die neuesten Erkenntnisse von Darktrace zeigen, dass die Bedrohung nicht nur anhält, sondern sich auch weiterentwickelt. Fake-Firmen und Malware-Verbreitungsmechanismen werden immer komplexer. Angesichts gefälschter Vorstellungsgespräche, betrügerischer Software-Downloads und gefälschter Krypto-Plattformen müssen Nutzer in der Krypto-Landschaft zunehmend vorsichtig sein.

Solange Plattformen die Kontoverifizierung und -authentifizierung nicht verbessern und Nutzer strengere Sicherheitsvorkehrungen treffen, werden diese ausgeklügelten Systeme wahrscheinlich weiterhin Opfer fordern. Wie immer gilt: Wenn etwas in der Kryptowelt zu schön klingt, um wahr zu sein, ist es das wahrscheinlich auch.