Organisierte Kriminalität nimmt Krypto-Währungen ins Visier

IT-Security-Unternehmen haben jetzt mit Cryptoshuffler erstmals eine Malware entdeckt, die Krypto-Währungen aus Wallets entwendet, indem sie die Wallet-Adresse gezielt durch eine eigene ersetzt. Gefährdet sind neben Endkunden auch institutionelle Finanzunternehmen wie Banken und FinTech-Start-ups, die mit den Krypto-Währungen auf Blockchain-Basis arbeiten. Diese sollten jetzt im Rahmen ihrer Sicherheitsstrategie Vorkehrungen treffen, die über rein reaktive Maßnahmen hinausgehen.

So konnten Cyberkriminelle nach den Worten des IT-Sicherheitsunternehmens Kaspersky Lab bisher fast 140.000 US-Dollar erbeuten. Erwartungsgemäß sind aufgrund der hohen Verbreitung vor allem Bitcoin-Konten betroffen. Ziel sind darüber hinaus aber auch andere beliebte digitale Währungen wie Ethereum, Zcash, Dash oder Monero. Für letztere identifizierten die Cybersicherheitsexperten mit DiscordiaMiner auch einen neuen Trojaner zum Schürfen (Mining) von Kryptogeld. Außerdem sind aktuell vermehrt Spam-Mails mit Betrugsmaschen zu Krypto-Währungen in Umlauf.

Malware-Angriffe auch für Banken und FinTechs eine Gefahr

Dass aktuell die organisierte Kriminalität offenbar auch die Krypto-Währungen und deren Händler und Besitzer ins Visier nimmt, verwundert nicht:

Krypto-Währungen sind keine ferne Technologie mehr. Sie halten Einzug in unser Leben und verbreiten sich auf der ganzen Welt – und werden so für Nutzer zugänglicher und für Kriminelle attraktiver. Seit einiger Zeit sehen wir eine Zunahme von Malware-Angriffen, die auf verschiedene Arten von Krypto-Währungen abzielen.”

Sergey Yunakovsky, Malware-Analyst bei Kaspersky Lab

Das Unternehmen erwartet, dass sich dieser Trend fortsetzen wird und rät zur Vorsicht: Nicht nur Endkunden, die Investitionen in Krypto-Währungen in Erwägung ziehen, sollten sich daher Gedanken darüber machen, ob sie entsprechend geschützt sind. Die Notwendigkeit, Vorkehrungen zu treffen, betrifft auch Finanzinstitute, die mit Krypto-Währungen arbeiten.
Insbesondere seit im September die Bank für Internationalen Zahlungsausgleich (BIZ) den Zentralbanken empfohlen hat, sich mit der Thematik der Krypto-Währungen zu beschäftigen, sind Bitcoin, Ethereum und Co. auch in jenen Instituten salonfähig geworden, die die Cyber-Währungen bisher als Technikspielerei abgetan haben.

Bitcoin-Wallet in Gefahr: Cryptoshuffler entführt Wallet-IDs

Doch was passiert bei den Trojanerangriffen genau? Der Trojaner Cryptoshuffler ändert die Adressen der Wallets im Clipboard, einer Software zur kurzfristigen Speicherung von Daten des infizierten Gerätes. Solche Hijacking-Attacken auf Clipboards sind seit Jahren bekannt. Sie leiten Nutzer auf schädliche Webseiten weiter und zielen auf Online-Bezahlsysteme ab. Nach der Installation beginnt Cryptoshuffler mit der Überwachung des bei der Zahlung verwendeten Clipboards. Dabei werden die Nummern der Wallets kopiert und in die Zeile „Zieladresse“ der Software eingefügt, die zur Ausführung einer Transaktion verwendet wird.

Der Trojaner ersetzt dabei die Wallet des Nutzers durch eine eigene. Wenn der Nutzer die Wallet-ID in die Zieladressenzeile einfügt, ist dies also nicht die Adresse, an die ursprünglich das Geld gesendet werden sollte. Das Opfer sendet so Geld direkt an die Cyberkriminellen. Der Austausch im Clipboard findet aufgrund einer einfachen Suche nach Wallet-Adressen sofort statt: Der Großteil der Wallets hat eine feste Position in der Transaktionszeile und verwendet immer eine bestimmte Anzahl von Zeichen. Auf diese Weise können Eindringlinge problemlos reguläre Codes erstellen, um sie zu ersetzen.

Discordia-Miner schürft Kryptowährung Monero

Darüber hinaus haben die Experten einen weiteren Trojaner namens Discordia-Miner gefunden, der auf die Krypto-Währung Monero abzielt und für den Upload und das Ausführen von Dateien von einem Remote-Server konzipiert wurde. Die genauen Bezeichnungen der blockierten Malware lautet übrigens „Trojan-Banker.Win32.CryptoShuffler.gen“ sowie „Trojan.Win32.DiscordiaMiner“.

Die beiden Strategien zeigen: Aktuell sind die Bedrohungen im Hinblick auf Krypto-Währungen noch eher auf den (weniger versierten) Endverbraucher hin ausgerichtet. Doch das wird definitiv nicht so bleiben: Banken und Finanzdienstleister, die sich mit dem Krypto-Währungs-Thema befassen, sollten daher die Security-Themen mit bedenken und entsprechende Vorkehrungen in ihrer IT-Strategie einplanen. Sie werden zwar (hoffentlich) nicht Opfer von ungezielten Malware- und Trojaner-Bedrohungen, könnten aber gezielt durch Schad-Software angegriffen werden. Und die ist bekanntermaßen gefährlicher, weil es hier eben nicht schon vorher Dutzende oder Hunderte Opfer gegeben hat und entsprechende Signaturen bereits bekannt sind. tw