Microsoft warnt vor einer neuen Bedrohung, die auf mit dem Internet verbundene Kryptowährungs-Wallets abzielt, und signalisiert damit eine neue Form der Nutzung digitaler Münzen für Cyberangriffe.
Der Tech-Gigant bezeichnete die neue Bedrohung als „Cryware“. Die Angriffe führen zu einem unwiderruflichen Diebstahl virtueller Währungen durch betrügerische Überweisungen an eine vom Gegner kontrollierte Wallet.
„Cryware sind Informationsdiebe, die Daten direkt aus nicht verwahrten Kryptowährungs-Wallets, auch Hot Wallets genannt, sammeln und exfiltrieren“, so Berman Enconado und Laurie Kirk vom Microsoft 365 Defender Research Team in einem neuen Bericht.
„Da Hot Wallets im Gegensatz zu Custodial Wallets lokal auf einem Gerät gespeichert werden und leichteren Zugang zu den kryptografischen Schlüsseln bieten, die für die Durchführung von Transaktionen benötigt werden, zielen immer mehr Bedrohungen auf sie ab.“
Angriffe dieser Art sind keine Theorie. Anfang des Jahres hat Kaspersky eine finanziell motivierte Kampagne der Lazarus Group aus Nordkorea aufgedeckt, bei der Kryptounternehmen mit Malware angegriffen wurden, um Gelder aus Hot Wallets abzuziehen.
Cryware umfasst die folgenden Bedrohungen –
Cryptojacker, die heimlich die Ressourcen des Geräts eines Ziels nutzen, um Kryptowährung zu schürfen
Ransomware-Kampagnen, die Kryptowährung als Lösegeldzahlung verwenden, um nicht entdeckt zu werden
Kampagnen, die Kryptowährung als Lösegeldzahlung nutzen, um der Entdeckung zu entgehen Informationsdiebe (z. B. Mars Stealer, RedLine Stealer, Arkei und Raccoon), die zunehmend aufgerüstet werden, um neben anderen wertvollen Informationen, die im System gespeichert sind, auch Hot Wallet-Daten abzuschöpfen, und
(z. B. Mars Stealer, RedLine Stealer, Arkei und Raccoon), die zunehmend aufgerüstet werden, um neben anderen wertvollen Informationen, die im System gespeichert sind, auch heiße Wallet-Daten abzuschöpfen, und ClipBankers (auch Clipper genannt), die Kryptowährungen während Transaktionen stehlen, indem sie die Zwischenablage überwachen und die ursprüngliche Wallet-Adresse durch die Adresse des Angreifers ersetzen
Solche Angriffe zielen darauf ab, Hot-Wallet-Daten wie private Schlüssel, Seed-Phrasen und Wallet-Adressen zu extrahieren, damit der Angreifer betrügerische Transaktionen initiieren und Gelder auf eine andere Wallet verschieben kann.
Es wurde auch beobachtet, dass Cyberkriminelle Techniken wie Memory Dumping einsetzen, um die privaten Schlüssel im Klartext anzuzeigen, Keylogging, um die Tastatureingaben eines Opfers zu erfassen, oder die Gestaltung von ähnlich aussehenden Wallet-Websites, um Nutzer/innen zur Eingabe ihrer privaten Schlüssel zu verleiten.
Um solche Bedrohungen einzudämmen, empfiehlt Microsoft Nutzern und Unternehmen, Hot Wallets zu sperren, wenn sie nicht handeln, die mit einer Wallet verbundenen Websites zu trennen, private Schlüssel nicht im Klartext zu speichern und den Wert der Wallet-Adresse beim Kopieren und Einfügen der Informationen zu überprüfen.
„Cryware steht für einen Wandel in der Verwendung von Kryptowährungen bei Angriffen: nicht mehr als Mittel zum Zweck, sondern als Ziel selbst“, so die Forscher.