Nachricht

Jul 01, 2025

Krypto-Drainer werden jetzt auf IT-Branchenmessen als benutzerfreundliche Malware verkauft

Crypto Drainers haben sich zu einer zugänglichen, professionalisierten Software-as-a-Service-Branche entwickelt, die es auch unqualifizierten Akteuren ermöglicht, Kryptowährungen zu stehlen. Crypto Drainers, Malware, die zum Diebstahl von

Crypto Drainers haben sich zu einer zugänglichen, professionalisierten Software-as-a-Service-Branche entwickelt, die es auch Akteuren mit geringen Fähigkeiten ermöglicht, Kryptowährungen zu stehlen.

Crypto Drainers, also Schadsoftware zum Diebstahl von Kryptowährungen, sind leichter zugänglich geworden, da sich das Ökosystem zu einem Software-as-a-Service-Geschäftsmodell (SaaS) entwickelt hat.

In einem Bericht vom 22. April enthüllte das Kryptoforensik- und Compliance-Unternehmen AMLBot, dass viele Drainer-Operationen auf ein SaaS-Modell namens Drainer-as-a-Service (DaaS) umgestiegen sind. Der Bericht ergab, dass Malware-Verbreiter einen Drainer für nur 100 bis 300 US-Dollar (USDT) mieten können.

AMLBot-CEO Slava Demchuk erklärte gegenüber Cointelegraph, dass „der Einstieg in die Welt des Kryptowährungsbetrugs früher einiges an technischem Wissen erforderte“. Das sei nicht mehr der Fall. Mit dem DaaS-Modell sei „der Einstieg nicht wesentlich schwieriger als bei anderen Arten der Cyberkriminalität“.

Demchuk erklärte, dass potenzielle Drainer-Nutzer Online-Communitys beitreten, um von erfahrenen Betrügern zu lernen, die Anleitungen und Tutorials anbieten. Auf diese Weise wechseln viele Kriminelle, die an traditionellen Phishing-Kampagnen beteiligt sind, in den Krypto-Drainer-Bereich.

Verwandt:Nordkoreanische Hacker zielen mit gefälschten Einstellungstests auf Krypto-Entwickler ab

Gruppen, die Krypto-Drainer als Dienstleistung anbieten, werden immer mutiger und einige entwickeln sich fast wie traditionelle Geschäftsmodelle, sagte Demchuk und fügte hinzu:

Auf die Frage, wie ein kriminelles Unternehmen Vertreter zu Veranstaltungen der IT-Branche schicken könne, ohne dass es zu Konsequenzen wie etwa Verhaftungen komme, verwies er auf die russische Cybercrime-Bekämpfung als Grund. „All das ist in Ländern wie Russland möglich, wo Hacking mittlerweile im Wesentlichen legalisiert ist, sofern man nicht im postsowjetischen Raum operiert“, sagte er.

Diese Praxis ist in der Cybersicherheitsbranche seit vielen Jahren ein offenes Geheimnis. Das Cybersicherheitsmagazin KrebsOnSecurity berichtete 2021, dass sich „praktisch alle Ransomware-Varianten“ deaktivieren, ohne Schaden anzurichten, wenn sie die Installation russischer virtueller Tastaturen erkennen.

Ähnlich verhält es sich mit dem Informationsdieb Typhon Reborn v2, der die IP-Geolokalisierung des Nutzers mit einer Liste postsowjetischer Länder abgleicht. Laut dem Netzwerkunternehmen Cisco wird der Computer deaktiviert, sobald er feststellt, dass sich der Nutzer in einem dieser Länder befindet. Der Grund ist einfach: Die russischen Behörden haben gezeigt, dass sie einschreiten werden, wenn lokale Hacker Bürger des postsowjetischen Blocks angreifen.

Verwandt:Was ist Bitcoinlib und wie sind Hacker darauf gestoßen?

Demchuk erklärte weiter, dass DaaS-Organisationen ihre Kundschaft in der Regel in bestehenden Phishing-Communitys finden. Dazu gehören Gray- und Black-Hat-Foren sowohl im Clearnet (normales Internet) als auch im Darknet (Deep Web) sowie Telegram-Gruppen und -Kanäle und Graumarktplattformen.

Im Jahr 2024 berichtete Scam Sniffer, dass Drainer für Verluste von rund 494 Millionen US-Dollar verantwortlich waren. Das entspricht einem Anstieg von 67 % gegenüber dem Vorjahr, obwohl die Zahl der Opfer um 3,7 % gestiegen ist. Die Zahl der Drainer nimmt zu. Der Cybersicherheitsriese Kaspersky berichtete, dass die Zahl der ihnen gewidmeten Online-Ressourcen in Darknet-Foren von 55 im Jahr 2022 auf 129 im Jahr 2024 gestiegen ist.

Entwickler werden oft über normale Stellenanzeigen rekrutiert. Der Open-Source-Intelligence-Ermittler von AMLBot, der aus Sicherheitsgründen lieber anonym bleiben möchte, erklärte gegenüber Cointelegraph, dass sein Team bei der Recherche zu Drainern „auf mehrere Stellenausschreibungen gestoßen sei, die sich speziell an Entwickler richteten, die Drainer für Web3-Ökosysteme bauen“.

Er veröffentlichte eine Stellenanzeige, in der die erforderlichen Funktionen eines Skripts beschrieben wurden, mit dem Hedera (HBAR)-Wallets geleert werden können. Auch hier richtete sich das Angebot hauptsächlich an russischsprachige Nutzer:

Der Ermittler fügte hinzu, dass solche Anzeigen in Telegram-Chats für Smart-Contract-Entwickler erscheinen. Diese Chats sind weder privat noch eingeschränkt, sondern klein und haben in der Regel 100 bis 200 Mitglieder.

Die Administratoren löschten die als Beispiel angegebene Ankündigung schnell wieder. Doch „wie so oft hatten diejenigen, die sie sehen mussten, sie bereits zur Kenntnis genommen und reagiert.“

Traditionell wurden derartige Geschäfte in spezialisierten Clearnet- und Deep-Web-Foren abgewickelt, die über das Tor-Netzwerk zugänglich waren. Der Ermittler sagte jedoch, dass ein Großteil der Inhalte aufgrund der Richtlinie von Telegram, keine Daten an Behörden weiterzugeben, zu Telegram verschoben wurde. Dies änderte sich nach der Verhaftung von Telegram-CEO Pavel Durov:

Dennoch ist dies für Cyberkriminelle ein Problem, das möglicherweise nicht mehr relevant ist. Anfang dieser Woche äußerte Durov Bedenken hinsichtlich einer wachsenden Bedrohung für private Nachrichten in Frankreich und anderen Ländern der Europäischen Union und warnte, dass Telegram lieber bestimmte Märkte verlassen würde, als Verschlüsselungs-Hintertüren zu implementieren, die die Privatsphäre der Nutzer untergraben.

Magazin:Da Ethereum-Phishing schwieriger wird, wechseln die Abflüsse zu TON und Bitcoin