100.000 $ zurückgegeben — Malvertising-Betrug vereitelt
Russische Betrüger gaben sich mithilfe von Malvertising und Stealer-Malware als Krypto-Projekt aus. Wir haben die Aktion aufgedeckt, den Zugriff auf die Wallets wiederhergestellt und über 100.000 US-Dollar zurückerstattet. Die zusätzlich wiedergewonnenen Gelder wurden an @_SEAL_Org gespendet. Nachfolgend: Aufschlüsselung, IOCs und Erkenntnisse.
Übersicht
Ein Kryptowährungsprojekt fiel einem Social-Engineering-Angriff zum Opfer, der als legitime Werbepartnerschaft getarnt war. THE ENABLERS REGISTRY stellte den Zugriff auf die Wallet wieder her und sicherte über 100.000 Dollar in kompromittierten Geldern und leitete die angebotene Belohnung anschließend an eine externe Organisation weiter, um die Unabhängigkeit zu wahren.
Was Sie wissen müssen
- Die Wallet war bereits kompromittiert; Gelder waren bereits transferiert worden.
- Der Zugang wurde wiederhergestellt und $100K+ wurde daran gehindert, beim Angreifer zu bleiben.
- Im Rahmen des Projekts wurde eine Belohnung angeboten, die jedoch abgelehnt und an @_SEAL_Org stattdessen.
- Diese Arbeit wird eigenständig im Rahmen einer privatwirtschaftlichen Initiative durchgeführt und stellt keine bezahlte Beschäftigung dar.
So funktionierte der Betrug
- Das Opfer erhielt ein Kooperations- bzw. Werbeangebot für ein Krypto-Spiel.
- Der Angriff wirkte glaubwürdig: eine professionelle Website, eine etablierte Präsenz auf X (Twitter) sowie Videoanrufe, die seriös wirkten.
- Während der Telefonate forderten die Angreifer die Installation eines „Workplace Viewers“ an, um auf die Unterlagen zugreifen zu können.
- Der „Viewer“ war Malware zum Datendiebstahl.
- Die Angreifer hoben Geld ab, tauschten Token zwischen verschiedenen Blockchains aus und transferierten Vermögenswerte in ihre eigene Wallet.
Ergriffene Maßnahmen
- Der Kompromiss wurde bestätigt und die weitere Bewegung gestoppt.
- Der Zugriff auf die Wallet wurde für den rechtmäßigen Eigentümer wiederhergestellt.
- Die Kontrolle über die Empfänger-Wallet des Angreifers wurde gesichert und an das Opferteam übertragen.
- Abgestimmte Folgemaßnahmen zur Verringerung des Restrisikos.
Sicherheitsmaßnahmen nach einem Vorfall
Gerätesicherheit
- Schritt-für-Schritt-Anleitung zum sicheren Umgang mit infizierten Geräten
- Netzwerkisolierung, Sitzungswiderruf, Rotation von Anmeldedaten und Schlüsseln, Plan für einen sauberen Neuaufbau
Betriebliche Einrichtung
- Neuer, sauberer Arbeitsplatz, der ausschließlich für den Umgang mit Geldbörsen vorgesehen ist
- Aktuelles Betriebssystem, herstellerspezifische Downloads, Hardware-Wallet, wenige Erweiterungen, separates Browserprofil, 2FA
Vorbereitung auf die forensische Untersuchung
- Leitfaden zur Erstellung von Festplatten-Snapshots und zur Erfassung von System- und Anwendungsprotokollen
- Sicherung von Beweismitteln für mögliche strafrechtliche Ermittlungen
Das Konzept des „Adverting“ verstehen
Werbung Dabei handelt es sich um Social Engineering im geschäftlichen Umfeld, bei dem Kriminelle normale Arbeitsabläufe (Anzeigenkäufe, Partnerschaften, PR) nachahmen, um die Installation bösartiger „Clients“ zu erwirken.
Häufige Warnzeichen:
- „Installieren Sie unseren Anzeigenmanager/Helper, um die Werbemittel zu synchronisieren“
- „Nutzen Sie für den Anruf unseren maßgeschneiderten Zoom-/[REDACTED]-Client“
- „Öffnen Sie unser Medienkit/unsere Vertraulichkeitsvereinbarung über einen sicheren Viewer“
Die Belohnung und die Unabhängigkeit
- Das Projekt bot eine Belohnung, da der Gewinn den anfänglichen Verlust überstieg.
- THE ENABLERS REGISTRY lehnte es ab, die Belohnung zu behalten.
- Der gesamte Überschuss floss in @_SEAL_Org.
- Dadurch bleibt die Unabhängigkeit gewahrt – es gibt keine Finanzierungsquellen und keine Verpflichtungen.
Grundprinzipien
- Nur Unabhängigkeit – ohne Budgets und ohne Auflagen.
- Ein ergebnisorientierter Ansatz statt endloser Diskussionen.
- Ablehnung jeglicher „Sonderkunden“ oder nicht geprüfter Software.
- Selektive Offenlegung, die den Opfern hilft, nicht aber den Angreifern.
- Direkter Druck auf die Infrastruktur der Angreifer.
Praktische Empfehlungen
Für Projekte und Teams
- Installieren Sie niemals Viewer, Clients oder Update-Programme von nicht verifizierten Drittanbietern.
- Beziehen Sie Zoom/[REDACTED] ausschließlich von den offiziellen Anbieter-Websites.
- Vermeiden Sie gesponserte Links zu Wallets, Bridges und Airdrops.
- Bevorzugen Sie Hardware-Wallets mit Offline-Speicherung des Seed-Codes.
- Im Falle einer Kompromittierung: Sitzungen widerrufen, Gelder umschichten, Schlüssel rotieren, Geheimnisse neu vergeben, sofort Hilfe in Anspruch nehmen.
Für die Gemeinschaft
- Melden Sie verdächtige Aktivitäten über unser [REDACTED]-Bot.
- Hier finden Sie wichtige Handlungsempfehlungen und Ressourcen unter enablers.report/critical-action.
Fazit
Obwohl bereits Gelder transferiert wurden, THE ENABLERS REGISTRY Zugang wiederhergestellt und stellte sicher, dass der Angreifer die gestohlenen Vermögenswerte nicht behalten konnte. Indem die Organisation die Belohnung ablehnte und überschüssige Mittel anderweitig einsetzte, bewahrt sie ihr ehrenamtliches, unabhängiges Betriebsmodell, dessen Schwerpunkt auf einer schnellen und effektiven Reaktion auf Vorfälle liegt.
