Virenlabor

Mit Copy and Paste lassen sich ganz einfach Krypto-Millionen klauen

Christopher Budd 14. Oktober 2021 11:13:22 MESZ

Es hat sich herausgestellt, dass dieser einfache Trick den Hacker:innen eine Menge an Kryptowährung einbringen kann

Heutzutage wird viel Geld mit Kryptowährungen verdient. Neben den Hobby-Händler:innen haben Kryptowährungen die Aufmerksamkeit von legitimen Investor:innen und Spekulant:innen auf sich gezogen. Auch Cyberkriminelle nutzen es, beispielsweise für Ransomware-Zahlungen.

Und es gibt noch eine andere, klassische Art und Weise, wie Cyberkriminelle an Kryptowährungen kommen: Indem sie diese einfach stehlen. 

Es gibt viele Möglichkeiten, Kryptowährungen zu klauen. Eine Möglichkeit ist die Verwendung von Coinminer-Malware auf den Computern der Opfer, um Rechenressourcen zu stehlen und so Kryptowährung direkt für die Kriminellen zu schürfen. Avast hat dies bei seiner jüngsten Untersuchung von Crackonosh gesehen, bei der die Malware-Autoren ihre Coinmining-Schadsoftware in geknackte Versionen beliebter Spiele geladen haben. Dies reichte aus, um den Leuten hinter Crackonosh seit Juni 2018 über 2 Millionen US-Dollar von über 222.000 infizierten Systemen weltweit einzubringen.

Eine andere Möglichkeit besteht darin, das Krypto-Äquivalent der Bankkonten anzugreifen. Wir haben das beobachtet, als Angreifer:innen hinter den Kundenkonten bei Coinbase her waren, einer der beliebtesten Kryptowährungsbörsen. In diesem Fall hatten es die Angreifer:innen auf die Konten der Coinbase-Kunden:innen abgesehen, verschafften sich Zugang zu ihnen und schickten dann die Gelder dieser Kund:innen auf Konten, die sie selbst unter Kontrolle haben.

Eine weitere Möglichkeit, wie Hacker:innen die Kryptowährungen stehlen können, besteht darin, das System direkt mit Malware anzugreifen. Was jedoch am meisten überrascht, ist, dass Hacker:innen dies tun können, indem sie ihre Malware eine häufig genutzte Funktion von Computern missbrauchen lassen: Kopieren und Einfügen (Copy&Paste). Es hat sich herausgestellt, dass dieser einfache Trick den Hacker:innen eine Menge an Kryptowährung einbringen kann.

In einer neuen Untersuchung haben Jakub Kaloč und Jan Rubín vom Avast Threat Labs Team herausgefunden, dass MyKings - ein Botnet, das seit mindestens 2016 existiert - einen einfachen Trick anwendet, indem es die Kopier- und Einfügefunktion auf infizierten Computern missbraucht, um Kryptowährungszahlungen an die Geldbörsen der Hacker:innen umzuleiten. Unsere Recherchen zeigen, dass die Wallets der Hacker:innen mindestens 24 Millionen US-Dollar (und wahrscheinlich mehr) in Bitcoin, Ethereum und Dogecoin aufweisen. Wir können nicht sagen, dass das alles von MyKings-Infektionen gestohlen wurde, aber zumindest ein Teil dieser beträchtlichen Summe stammt von MyKings, das diese Copy&Paste-Hijacking-Technik verwendet, um erfolgreich Geld abzuzweigen.

Es funktioniert ganz einfach: Sobald die MyKings-Malware auf dem System eines Opfers installiert ist, überwacht sie kontinuierlich die Zwischenablage auf das, was dort hinein kopiert wird. Wenn sie in der Zwischenablage eine vermeintliche Adresse mit Daten die etwas mit einer Kryptowährung zutun hat, entdeckt, ersetzt sie diese durch die Adresse der eigenen Geldbörse. Wenn der Benutzer dann die vermeintliche Adresse seiner Kryptowährung in eine Transaktion "einfügt", gibt er in Wirklichkeit die Adresse des Angreifers und nicht seine eigene ein. Sobald die Transaktion abgeschlossen ist, wird die Kryptowährung zum Wallet des Angreifers oder der Angreiferin gesendet.

Das ist ein einfacher Trick und wie wir sehen können, ist er sehr effektiv. Er beruht darauf, dass die Benutzer:innen nicht bemerken, dass sich die lange, komplexe Kontonummer geändert hat. Angesichts der Länge und Komplexität von Kryptowährungen-Adressen ist es ziemlich sicher, dass viele die Änderung nicht bemerken werden. Und das zahlt sich die Cyber-Kriminellen buchstäblich aus.

Die gute Nachricht ist, dass es einige einfache Möglichkeiten gibt, sich und seine Kryptowährungen zu schützen.

Erstens: Eine Sicherheitssoftware auf jedem System, das mit Kryptowährungen verwendet wird, ist ein guter Anfang. Sie kann helfen, Malware wie MyKings vom System fernzuhalten.

Zweitens: Dieser spezielle Angriff lässt sich vermeiden, indem Kryptowährungs-Wallet-Informationen nicht per Kopieren und Einfügen eingeben werden.

Drittens: Unabhängig davon, ob per Kopieren und Einfügen oder ob die Wallet-Adresse selbst eingegeben wird, sollte sich jeder Nutzer einen Moment Zeit nehmen, um zu überprüfen, ob die verwendeten Kontonummern die richtigen sind. Dieser Schritt kann nicht nur dazu beitragen, Probleme wie dieses zu vermeiden, sondern auch Fehler zu erkennen, die andere Probleme verursachen könnten.

MyKings zeigt, dass es für Angreifer einfache Möglichkeiten gibt, Kryptowährungen zu stehlen. Glücklicherweise sind die Schritte, um sich zu schützen, ebenso simpel wie effektiv.