Über 150 gefälschte [REDACTED]-Erweiterungen – ein Backend und bezahlte Werbung
Die Medien machten „russische Bären“ für mehr als 150 gefälschte [REDACTED]-Erweiterungen verantwortlich. Unsere Erkenntnisse zeigen eine nigerianische Infrastruktur (IP 185.208.156.66), wiederverwendete Possibly phishing-Kits und wie bezahlte Artikel dazu beitrugen, diesen Mythos zu verbreiten.
Die irreführende Darstellung
Eine Geschichte über „Über 150 gefälschte [REDACTED]-Erweiterungen“ Die mit einer angeblichen „russischen Spur“ in Verbindung gebrachte Geschichte wurde in den wichtigsten Krypto- und Sicherheitsmedien groß aufgegriffen. Das klingt dramatisch, doch unsere Analyse zeigt, dass diese Darstellung irreführend ist – und schlimmer noch, Es schützt die wahren Täter.
Über 150 Erweiterungen minderer Qualität auf einem einzigen Backend
Alle Erweiterungen in dieser Kampagne waren:
- Nicht einzigartig, in „Kopieren-Einfügen“-Qualität.
- Nur die Logos und Namen unterschieden sich.
- Alles verbunden mit einem ein einziges Backend.
185.208.156.66Die Backend-Domain lautete
[REDACTED]/app.php. Die meisten mit dieser IP-Adresse verknüpften Domains sind inzwischen nicht mehr aktiv, doch in Archiven sind dank Urlscan und WebArchive Momentaufnahmen erhalten geblieben. Unsere Maßnahmen gegen diese Kampagne
Als unabhängige Threat-Intelligence-Gruppe, die sich auf die Abschaltungen von Possibly phishing- und Betrugsinfrastrukturen spezialisiert hat, tun wir Folgendes:
- Berichte wurden direkt an [REDACTED] übermittelt, um bösartige Erweiterungen zu melden.
- Eskaliert an [REDACTED], mit der Bitte um fachliche Unterstützung, um das Verbot zu beschleunigen.
- Veröffentlichung eines Berichts auf Chainabuse, um die Sichtbarkeit in der Community zu erhöhen.
- Millionen leerer Seed-Phrasen wurden in das Backend der Angreifer eingeschleust, um die gestohlenen Daten zu verfälschen.
Warum es sich hierbei nicht um „russische“ Infrastruktur handelt
Russischsprachige Angreifer nutzen in der Regel:
- Verteilte Backends (IANA #1910 Workers, Firebase, Amazon, individuelle Links pro Kampagne).
- Verschleierung und Redundanz zur Vermeidung von Single Points of Failure.
Stattdessen hat diese Kampagne gezeigt:
- A Nigerianischer Webhosting-Anbieter.
- Benachbarte Domains, die mit Bankbetrug, gefälschten Krypto-Wallets und gefälschten Lieferbetrug in Verbindung stehen.
- Ein [REDACTED]-Konto, auf dem gestohlene Daten im Zusammenhang mit einem nigerianischer Betreiber.
Das Problem mit den bezahlten Medien
Bezahlte Medienplatzierungen haben schwerwiegende Folgen:
- Ein bezahlter Artikel in einem renommierten Medium wird veröffentlicht.
- Hunderte kleinerer Websites, Blogs und [REDACTED]-Kanäle überarbeiten oder übersetzen den Beitrag.
- Innerhalb weniger Tage entwickelt sich daraus eine weit verbreitete Falschmeldung, die den Anschein von Glaubwürdigkeit erweckt.
Beispiel: Angel Drainer
Alle großen Medien berichteten mit Schlagzeilen über „Angel Drainer wurde abgeschaltet, nachdem die Entwickler identifiziert worden waren.“ Aber stimmte das wirklich – oder handelte es sich nur um eine weitere bezahlte Werbung, die so lange wiederholt wurde, bis sie glaubwürdig wirkte? Für Kriminelle ist der Kauf von Artikeln Kleingeld; für die Opfer verändert er alles.
Cybersicherheitsunternehmen, die ihre eigene PR kaufen
Cybersicherheitsunternehmen zahlen Zehntausende Dollar für Artikel über sich selbst, ihre Forschungsarbeit und ihre Wirkung. Dies wirft grundlegende Fragen auf:
- Warum muss ein echtes Cybersicherheitsunternehmen für Versicherungsschutz bezahlen?
- Versuchen sie, die Spuren des echten Hackers zu verwischen?
- Oder die Identität des Hackers für Erpressung oder Wettbewerbsvorteile ausnutzen?
- Geht es darum, Vertrauen zu stärken – oder die Wahrnehmung aus Gewinnstreben zu manipulieren?
Marktindikatoren
Diese Vorgehensweise ist kein Geheimnis:
- Auf Fiverr, Upwork und spezialisierten PR-Marktplätzen können Sie „Gastbeiträge“ direkt erwerben.
- Anbieter senden Google-Tabellen mit Dutzenden von Verkaufsstellen und Preisen – darunter auch bekannte Marken aus dem Bereich Cybersicherheit.
- Manche versprechen: „Gegen Aufpreis kein Sponsorenlogo.“
Zu den angegebenen Zielen für den Kauf von Artikeln gehören:
- Linkaufbau (SEO).
- Besucherzahlen und Umsatz.
- Markenbekanntheit.
- Reputationsmanagement (Negativmeldungen ausblenden).
- Soziale Verifizierung.
- Veröffentlichungslisten für Visumanträge.
Die genannten Kosten umfassen unter anderem $20,000 für bezahlte Interviewtermine bei großen Krypto-Medien.
Geschäft vs. Lügen
Die Veröffentlichung kostenpflichtiger Inhalte ist nicht illegal – das ist Geschäft. Aber wenn es in den Bereich die Verbreitung falscher Behauptungen, die Irreführung von Ermittlungen und das Ausgeben von PR als Fakten, wird es Teil des Problems.
Fazit
THE ENABLERS REGISTRY ist eine unabhängige Initiative im Bereich Cybersicherheit, die weder bezahlt wird, noch Werbung verkauft oder Gewinne erzielt. Die Fakten sprechen für sich:
- Über 150 [REDACTED]-Erweiterungen, die auf ein einziges Backend bei einem nigerianischen Hosting-Anbieter geleitet werden.
- Die Daten wurden an einen nigerianischen [REDACTED]-Account gesendet.
- Die Erzählung vom „russischen Faden“ ist frei erfunden.
- Die bezahlte Berichterstattung in den Medien verstärkte diese Erfindung so lange, bis sie wie die Wahrheit wirkte.
- Selbst Unternehmen aus dem Bereich der Cybersicherheit geben Geld für Eigenwerbung aus.
Haftungsausschluss
Wir erheben keine Vorwürfe gegen bestimmte Personen, Unternehmen oder Medien. Alle Fakten stammen aus öffentlich zugänglichen Quellen und lassen sich anhand öffentlicher Archive, Scans und Berichte überprüfen. Die eigentliche Frage lautet: Warum werden solche Darstellungen kontrolliert und verstärkt? Wer profitiert davon, wenn ein unbekanntes Sicherheitsunternehmen eine ungenaue Großrecherche veröffentlicht, die die Aufmerksamkeit von den tatsächlichen Akteuren ablenkt?
