Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / 100K RETURNED MALVERTISING

100.000 $ zurückgegeben: Malvertising-Krypto-Betrug zerschlagen

The Enablers Registry·Editorial mirror·/de/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Untersuchung • 5–7 Minuten Lesezeit

100.000 $ zurückgegeben — Malvertising-Betrug vereitelt

Russische Betrüger gaben sich mithilfe von Malvertising und Stealer-Malware als Krypto-Projekt aus. Wir haben die Aktion aufgedeckt, den Zugriff auf die Wallets wiederhergestellt und über 100.000 US-Dollar zurückerstattet. Die zusätzlich wiedergewonnenen Gelder wurden an @_SEAL_Org gespendet. Nachfolgend: Aufschlüsselung, IOCs und Erkenntnisse.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Ursprünglich veröffentlicht am Medium — THE ENABLERS REGISTRY

Übersicht

Ein Kryptowährungsprojekt fiel einem Social-Engineering-Angriff zum Opfer, der als legitime Werbepartnerschaft getarnt war. THE ENABLERS REGISTRY stellte den Zugriff auf die Wallet wieder her und sicherte über 100.000 Dollar in kompromittierten Geldern und leitete die angebotene Belohnung anschließend an eine externe Organisation weiter, um die Unabhängigkeit zu wahren.

Was Sie wissen müssen

  • Die Wallet war bereits kompromittiert; Gelder waren bereits transferiert worden.
  • Der Zugang wurde wiederhergestellt und $100K+ wurde daran gehindert, beim Angreifer zu bleiben.
  • Im Rahmen des Projekts wurde eine Belohnung angeboten, die jedoch abgelehnt und an @_SEAL_Org stattdessen.
  • Diese Arbeit wird eigenständig im Rahmen einer privatwirtschaftlichen Initiative durchgeführt und stellt keine bezahlte Beschäftigung dar.

So funktionierte der Betrug

  • Das Opfer erhielt ein Kooperations- bzw. Werbeangebot für ein Krypto-Spiel.
  • Der Angriff wirkte glaubwürdig: eine professionelle Website, eine etablierte Präsenz auf X (Twitter) sowie Videoanrufe, die seriös wirkten.
  • Während der Telefonate forderten die Angreifer die Installation eines „Workplace Viewers“ an, um auf die Unterlagen zugreifen zu können.
  • Der „Viewer“ war Malware zum Datendiebstahl.
  • Die Angreifer hoben Geld ab, tauschten Token zwischen verschiedenen Blockchains aus und transferierten Vermögenswerte in ihre eigene Wallet.

Ergriffene Maßnahmen

  1. Der Kompromiss wurde bestätigt und die weitere Bewegung gestoppt.
  2. Der Zugriff auf die Wallet wurde für den rechtmäßigen Eigentümer wiederhergestellt.
  3. Die Kontrolle über die Empfänger-Wallet des Angreifers wurde gesichert und an das Opferteam übertragen.
  4. Abgestimmte Folgemaßnahmen zur Verringerung des Restrisikos.
Ergebnis: Zugriff wiederhergestellt, Kontrolle zurückgewonnen, Angreifer ausgesperrt.

Sicherheitsmaßnahmen nach einem Vorfall

Gerätesicherheit

  • Schritt-für-Schritt-Anleitung zum sicheren Umgang mit infizierten Geräten
  • Netzwerkisolierung, Sitzungswiderruf, Rotation von Anmeldedaten und Schlüsseln, Plan für einen sauberen Neuaufbau

Betriebliche Einrichtung

  • Neuer, sauberer Arbeitsplatz, der ausschließlich für den Umgang mit Geldbörsen vorgesehen ist
  • Aktuelles Betriebssystem, herstellerspezifische Downloads, Hardware-Wallet, wenige Erweiterungen, separates Browserprofil, 2FA

Vorbereitung auf die forensische Untersuchung

  • Leitfaden zur Erstellung von Festplatten-Snapshots und zur Erfassung von System- und Anwendungsprotokollen
  • Sicherung von Beweismitteln für mögliche strafrechtliche Ermittlungen

Das Konzept des „Adverting“ verstehen

Werbung Dabei handelt es sich um Social Engineering im geschäftlichen Umfeld, bei dem Kriminelle normale Arbeitsabläufe (Anzeigenkäufe, Partnerschaften, PR) nachahmen, um die Installation bösartiger „Clients“ zu erwirken.

Häufige Warnzeichen:

  • „Installieren Sie unseren Anzeigenmanager/Helper, um die Werbemittel zu synchronisieren“
  • „Nutzen Sie für den Anruf unseren maßgeschneiderten Zoom-/[REDACTED]-Client“
  • „Öffnen Sie unser Medienkit/unsere Vertraulichkeitsvereinbarung über einen sicheren Viewer“
Wichtige Regel: Wenn ein Workflow von unbekannten Absendern einen speziellen Client, Viewer oder Updater erfordert, gehen Sie standardmäßig von böswilligen Absichten aus. Verwenden Sie ausschließlich offizielle Downloads der Anbieter.

Die Belohnung und die Unabhängigkeit

  • Das Projekt bot eine Belohnung, da der Gewinn den anfänglichen Verlust überstieg.
  • THE ENABLERS REGISTRY lehnte es ab, die Belohnung zu behalten.
  • Der gesamte Überschuss floss in @_SEAL_Org.
  • Dadurch bleibt die Unabhängigkeit gewahrt – es gibt keine Finanzierungsquellen und keine Verpflichtungen.

Grundprinzipien

  • Nur Unabhängigkeit – ohne Budgets und ohne Auflagen.
  • Ein ergebnisorientierter Ansatz statt endloser Diskussionen.
  • Ablehnung jeglicher „Sonderkunden“ oder nicht geprüfter Software.
  • Selektive Offenlegung, die den Opfern hilft, nicht aber den Angreifern.
  • Direkter Druck auf die Infrastruktur der Angreifer.

Praktische Empfehlungen

Für Projekte und Teams

  • Installieren Sie niemals Viewer, Clients oder Update-Programme von nicht verifizierten Drittanbietern.
  • Beziehen Sie Zoom/[REDACTED] ausschließlich von den offiziellen Anbieter-Websites.
  • Vermeiden Sie gesponserte Links zu Wallets, Bridges und Airdrops.
  • Bevorzugen Sie Hardware-Wallets mit Offline-Speicherung des Seed-Codes.
  • Im Falle einer Kompromittierung: Sitzungen widerrufen, Gelder umschichten, Schlüssel rotieren, Geheimnisse neu vergeben, sofort Hilfe in Anspruch nehmen.

Für die Gemeinschaft

Fazit

Obwohl bereits Gelder transferiert wurden, THE ENABLERS REGISTRY Zugang wiederhergestellt und stellte sicher, dass der Angreifer die gestohlenen Vermögenswerte nicht behalten konnte. Indem die Organisation die Belohnung ablehnte und überschüssige Mittel anderweitig einsetzte, bewahrt sie ihr ehrenamtliches, unabhängiges Betriebsmodell, dessen Schwerpunkt auf einer schnellen und effektiven Reaktion auf Vorfälle liegt.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Diese Untersuchung teilen

Verwandte Ermittlungen

GRÜNDLICHE UNTERSUCHUNG
Anatomie des Krypto-Phishings: 8 echte Seed-Phrase-Stealer im Rückentwicklungsverfahren analysiert
UNTERSUCHUNG
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
UNTERSUCHUNG
Betrüger entlarvt: 4 Betrugs-Backends unter der Lupe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings