Gefälschte Zero-Day-Exploit-E-Mails verleiten Krypto-Nutzer zur Ausführung von Schadcode

Eine neue Betrugsmasche bringt Kryptowährungsnutzer dazu, ihre Guthaben preiszugeben, indem sie ihnen sofortige, massive Gewinne verspricht. Die Masche zielt auf Nutzer von swapzone.io ab, einer beliebten Website zum Vergleich von Kryptowährungskursen, und verwendet einen einfachen, aber effektiven Code, der die Bildschirmanzeige der Opfer manipuliert.

Das Forschungsteam des Threat Intelligence Lab von Bolster AI hat kürzlich diesen wirkungsvollen JavaScript-basierten Angriff untersucht und festgestellt, dass er zwei typisch menschliche Eigenschaften ausnutzt: Gier und Neugier.

Bolsters Forschungsergebnisse , die Hackread.com vorliegen, zeigen, dass die Angreifer eine zweigleisige E-Mail-Strategie verfolgten: Sie versendeten Nachrichten von kostenlosen, anonymen Plattformen oder ahmten offizielle Konten wie „Claytho Developer [email protected] . “ nach.

Experten bestätigten, dass diese gefälschten E-Mails über einen kostenlosen Spoofing-Dienst namens Emkei's Mailer und nicht über das System von Swapzone selbst versendet wurden. Die E-Mails locken Nutzer mit einer angeblichen „Zero-Day-Schwachstelle“ oder einem angeblich „garantiert funktionierenden Gewinntrick“.

Um extreme Dringlichkeit zu erzeugen, behaupten sie fälschlicherweise, die „Zero-Day-Schwachstelle“ werde innerhalb von ein bis zwei Tagen behoben sein, wodurch Nutzer zu schnellem Handeln gezwungen werden. Forscher stellten fest, dass innerhalb von nur 48 Stunden über 100 Nachrichten diesem Muster folgten.

Weitere Nachforschungen ergaben, dass der Betrug sogar in privaten Cyberkriminalitätsforen stattfand, beispielsweise bei einem Nutzer namens Nexarmudor. Auf darkforums.st , einer Plattform, die sowohl im offenen als auch im dunklen Web aktiv ist, wurde festgestellt, dass jemand Forumsmitglieder getäuscht hat.

Die Opfer werden auf einen schädlichen Google Docs- Link weitergeleitet, der eine kurze Anleitung enthält. Darin werden sie aufgefordert, eine einzelne Codezeile, beginnend mit „javascript:“, in die Adresszeile ihres Browsers einzufügen. Das genügt bereits, um Probleme zu verursachen, denn das Einfügen dieses Codes entspricht dem Ausführen eines Programms auf dem eigenen Gerät – ein Risiko, dessen sich die meisten Nutzer nicht bewusst sind.

Sobald der kleine Codeabschnitt ausgeführt wird, lädt er ein wesentlich größeres, verstecktes Programm, das die Browsersitzung des Opfers durch visuelle Täuschung übernimmt. Es beginnt sofort, die Darstellung der Website zu verändern, beispielsweise indem es die angezeigten Renditen künstlich erhöht. Eine Anleitung mit dem Titel „Swapzone.io – ChangeNOW Profit Method“ versprach rund 37 % höhere Auszahlungen als üblich.

Das Programm fügt außerdem gefälschte Elemente hinzu, wie beispielsweise Bildschirme mit vorgetäuschten Countdown-Timern, um Dringlichkeit vorzutäuschen. Am schädlichsten ist jedoch, dass der versteckte Code beim Versuch des Opfers, die Transaktion abzuschließen, die Zahlung an eine vom Angreifer kontrollierte Wallet-Adresse umleitet, indem er die Krypto-Wallet -Adresse des Kriminellen unbemerkt in die Zwischenablage des Nutzers kopiert. Die Forscher von Bolster fanden einen Pool von Adressen für verschiedene Kryptowährungen, was auf eine gut organisierte kriminelle Operation hindeutet.

Forscher betonen, dass die Gier nach schnellem Gewinn jeden angreifbar machen kann, egal ob man regelmäßig mit Kryptowährungen handelt oder nur investieren möchte. Deshalb raten sie dringend davon ab, JavaScript-Code aus nicht vertrauenswürdigen Quellen in die Adresszeile einzufügen.

„Diese Entdeckung hat gezeigt, wie Social-Engineering-Taktiken nun innerhalb der Strukturen von Bedrohungsakteuren selbst umfunktioniert werden, und verdeutlicht, dass selbst erfahrene Individuen in Untergrund-Ökosystemen anfällig für Manipulation sind, wenn Gier und Dringlichkeit im Spiel sind“, so das Fazit des Berichts.