Wie Fake-Startups systematisch Krypto-Wallets plündern

Wie die Krypto-Falle funktioniert

Seit Ende 2024 wird eine Kampagne beobachtet, die sich gezielt an Web3-Mitarbeitende, Influencer: und aktive Krypto-Nutzer richtet. Die Angreifer gründen fingierte Unternehmen in Bereichen wie Künstliche Intelligenz, Gaming, Web3 oder Meeting-Software. Dazu gehören professionell gestaltete Websites, Whitepaper auf Plattformen wie Notion oder GitBook, GitHub-Repositories sowie aktive, auf den ersten Blick seriöse Social-Media-Accounts – vor allem auf X (ehemals Twitter). Teilweise werden dafür kompromittierte oder neu angelegte Profile genutzt.

All diese Elemente dienen einem Ziel: Glaubwürdigkeit aufzubauen und das Opfer per Direktnachricht dazu zu bewegen, eine Software zu testen – gegen eine angebliche Bezahlung in Krypto.

Die Kontaktaufnahme erfolgt meist über X, Telegram oder Discord. Der Ablauf ist häufig ähnlich: Das Opfer erhält eine Nachricht von einer vermeintlichen Mitarbeiterin oder einem Mitarbeiter, bekommt einen Registrierungscode und wird aufgefordert, ein Installationspaket von einer offiziell wirkenden Produktseite herunterzuladen. Je nach Betriebssystem handelt es sich um ein macOS-DMG oder eine Windows-Anwendung auf Electron-Basis. Sobald die Anwendung gestartet wird, beginnt eine mehrstufige Infektionskette.

Electron als Malware-Träger unter Windows

Bei der Windows-Variante handelt es sich häufig um eine Electron-Anwendung. Electron ermöglicht es, Webtechnologien als Desktop-Apps zu verpacken. Darktrace beobachtete, dass diese Apps direkt nach dem Start ein detailliertes Systemprofil erstellen – darunter Benutzername, CPU- und Kernanzahl, Arbeitsspeicher, Betriebssystemversion, MAC-Adresse, GPU-Details und UUID. Dieses Profil wird zusammen mit einem Captcha- oder Token-Wert an einen Verifikationsdienst gesendet. Besteht das System die Prüfung, lädt die App im Hintergrund unbemerkt eine signierte EXE- oder MSI-Datei herunter und führt sie aus.

In einigen Fällen wird zusätzlich eine portable Python-Laufzeitumgebung in temporäre Verzeichnisse entpackt, um Befehle eines Command-and-Control-Servers (C&C, C2) auszuführen.

Zentrale Techniken und Taktiken

• System-Profiling, um Ziele auszuwählen und passende Schadmodule nachzuladen.
• Missbrauch gestohlener Code-Signatur-Zertifikate: Die Binärdateien wirken dadurch vertrauenswürdig und werden von vielen Sicherheitslösungen schlechter erkannt. Beobachtungen zeigen, dass Zertifikate realer Unternehmen verwendet wurden; einige davon wurden im Juni 2025 widerrufen.
• Anti-Analyse-Mechanismen wie Verschleierung, Zeitverzögerungen und Sandbox- beziehungsweise VM-Erkennung, um dynamische Analysen zu erschweren.

Unauffällige Angriffe auf macOS mit DMG und AppleScript

Unter macOS verteilen die Angreifer scheinbar harmlose Disk-Images (DMGs), die ein verstecktes Startskript und ein Programm für verschiedene Mac-Prozessorarchitekturen enthalten. Das Skript ist absichtlich verschleiert und muss zunächst dekodiert werden. Anschließend verschiebt es die versteckte App in ein temporäres Verzeichnis, macht sie ausführbar und startet sie im Hintergrund. Diese Technik ist auch von bekannten macOS-Infostealern wie Atomic Stealer bekannt.

Varianten von Atomic Stealer greifen eine Vielzahl sensibler Daten ab, darunter gespeicherte Browserdaten, Passwörter, Cookies und lokale Dateien. Auch Wallet-Dateien, MetaMask-Profile und andere kryptografische Schlüssel werden exfiltriert – sofern sie lokal gespeichert oder über Browser-Erweiterungen zugänglich sind. Die gesammelten Informationen werden anschließend in ZIP-Archive gepackt und per HTTP-POST an definierte C2-Endpunkte übertragen.

Häufig wird zusätzlich ein weiteres Skript (etwa ein Installationsskript) nachgeladen, um weitere Komponenten zu beziehen und die Schadsoftware dauerhaft im System zu verankern – beispielsweise durch Einträge in den Autostart. Einige Programme protokollieren zudem, welche Apps und Fenster genutzt werden, und senden diese Informationen regelmäßig an entfernte Server. Vermutlich dient dies dazu, den Erfolg der Kampagne zu messen oder besonders wertvolle Ziele zu identifizieren.

Professionelle Strukturen hinter der Kampagne

Das Vorgehen passt zu sogenannten Traffer-Netzwerken – organisierten Affiliate-Gruppen, die Traffic erzeugen, Downloads auslösen und mit dem Verkauf gestohlener Daten Geld verdienen. Analysten von Recorded Future und anderen Sicherheitsfirmen haben Gruppen wie CrazyEvil dokumentiert, die seit mindestens 2021 aktiv sind und 2024/2025 einen deutlichen Anstieg gezielter Social-Engineering-Operationen zeigten.

Eine eindeutige Zuordnung einzelner Kampagnen bleibt schwierig, doch Taktiken und eingesetzte Werkzeuge überschneiden sich deutlich.

Kompromittierungsindikatoren – und wie man sie erkennt

Sicherheitsunternehmen haben sogenannte Indicators of Compromise (IoCs) veröffentlicht – darunter Domains, C2-URLs und Datei-Hashes – sowie Erkennungsregeln, die nach typischen Mustern in Electron-basierten Installern suchen. Diese Erkennungen kombinieren Electron-spezifische Merkmale, System- und Hardware-Abfragen sowie Download-und-Ausführungs-Verhalten. Eine beispielhafte YARA-Regel zielt genau auf diese Kombination ab.

Beispielhafte IoCs (gekürzt):

• Typosquatting-Domains und GitHub-Repositories mit umbenannten Open-Source-Projekten
• Hashes beobachteter Windows- und macOS-Binärdateien sowie missbrauchter Signaturzertifikate

Abwehr- und Erkennungsmaßnahmen für Organisationen

Verhaltens- und anomaliebasierte Erkennung als Primärsignal: Die Kampagnen sind hochdynamisch und nutzen schnell wechselnde Infrastruktur. Statische Signaturen und Blocklisten stoßen daher an ihre Grenzen. Im Fokus sollten auffällige Verhaltensmuster stehen – etwa unerwartetes System-Profiling, lautlose Installer-Ausführung, das Erstellen von Archiven oder ungewöhnliche ausgehende Verbindungen kurz nach dem Start einer Anwendung.

Korrelation schwacher Signale über Endpunkte hinweg: Einzelne Indikatoren reichen selten aus. Erst die Kombination von Prozessverhalten, Persistenzmechanismen, Privilegiennutzung und Datenzugriff ermöglicht eine frühzeitige Erkennung von Infostealern.

Ungewöhnliche Nutzungsmuster statt reiner Known-Bad-Indikatoren: Abweichungen von etablierten Baselines – etwa Hintergrundinstallationen, bislang unbekannte Anwendungen mit Netzwerkaktivität oder atypische Ausführungsketten – liefern oft wertvollere Hinweise als kurzlebige IoCs.

Netzwerkkontext als Ergänzung, nicht als alleiniger Schutz: Netzwerkbasierte Indikatoren und DNS-Kontrollen bleiben hilfreich, sollten aber verhaltensbasierte Ansätze ergänzen – unabhängig davon, ob die Signale von Endpunkten, Netzwerktelemetrie oder Identitätskontext stammen. Bei hochadaptiven Kampagnen reicht reines Blocking auf Netzwerkebene nicht aus.

„Netzwerkbasierte Indikatoren und DNS-Kontrollen bleiben hilfreich, sollten aber verhaltensbasierte Ansätze ergänzen – unabhängig davon, ob die Signale von Endpunkten, Netzwerktelemetrie oder Identitätskontext stammen.“

Max Heinemeyer, Darktrace

Für Einzelpersonen und Krypto-Nutzer

Davon ausgehen, dass Social Engineering funktioniert: Selbst erfahrene Nutzer können durch langfristige, professionell aufgesetzte Kampagnen getäuscht werden. Schutzstrategien sollten daher nicht auf perfektes Urteilsvermögen oder oberflächliche Plausibilitätschecks setzen.

Schadensradius durch Wallet-Isolation begrenzen: Krypto-Wallets sollten strikt von Testumgebungen und unbekannter Software getrennt werden. Hardwarebasierte Schlüsselspeicherung und klare Trennung bleiben zentrale Schutzmaßnahmen – insbesondere dann, wenn Täuschung bereits erfolgreich war.

Fazit: Lehren für die Abwehr von Social Engineering

Die beobachteten Kampagnen zeigen ein neues Maß an Professionalität: Es geht nicht mehr nur um Malware, sondern um den Aufbau kompletter Fake-Ökosysteme, die gezielt Vertrauen schaffen. Technisch decken die Angriffe beide großen Desktop-Plattformen ab und kombinieren klassische Infostealer-Funktionen mit ausgefeilten Umgehungsstrategien.

Für Betreiber digitaler Vermögenswerte liegen die zentralen Schutzmaßnahmen in technischer Härtung, gezieltem Monitoring und klaren Regeln für die Installation externer Software. Die aktuellen Erkenntnisse liefern konkrete IoCs und verhaltensbasierte Indikatoren, die in bestehende Verteidigungsstrategien integriert werden sollten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.