Globale Offensive gegen Cybercrime
Eine globale Offensive gegen „Cybercrime-as-a-Service“-Malware, die heimlich Krypto-Wallets plündert, hat Zehntausende von Millionen Dollar an gestohlenen Geldern eingefroren. Die Strafverfolgungsbehörden identifizierten, kennzeichneten und froren mehr als 41 Millionen Euro (etwa 47 Millionen Dollar) an kriminellen Krypto-Assets in der neuesten Phase der Operation Endgame ein, teilte Europol am Mittwoch mit.
Die Malware-Familien
Der zweiwöchige, länderübergreifende Schlag zerstörte die Infrastruktur hinter drei Malware-Familien: SocGholish, Amadey und StealC. Alle drei zielen auf Krypto-Nutzer ab. StealC, ein Infostealer, der seit 2023 als Dienst verkauft wird, extrahiert Passwörter, Browser-Cookies und Krypto-Wallet-Daten von infizierten Maschinen. Sein Kontrollpanel enthielt sogar ein Plugin, das versuchte, die Seed-Phrasen der MetaMask-Wallets der Opfer zu entschlüsseln, wie Forscher von Proofpoint herausfanden.
Amadey verschafft sich den ersten Zugriff und installiert weitere Malware, während SocGholish, das mit der russischen Gruppe Evil Corp in Verbindung steht, Menschen über gefälschte Browser-Update-Aufforderungen auf gehackten Websites infiziert. Gemeinsam bilden sie die Angriffsoberfläche, die in entleerten Wallets, Kontoübernahmen und Ransomware endet.
Ergebnisse der Operation
Die Polizei nahm 326 Server und 142 Domains außer Betrieb, stellte fast 27 Millionen gestohlene Anmeldedaten von mehr als 385.000 kompromittierten Systemen sicher und reinigte fast 15.000 infizierte Websites, viele davon kleine Unternehmen. Microsoft, ein Partner der Operation, verband Amadey und StealC mit über 140.000 infizierten Computern weltweit allein in den ersten zwei Maiwochen.
Die Bedrohung durch Infostealer
Infostealer sind zu einem primären Weg für gestohlene Krypto geworden und heben heimlich Wallet-Dateien, private Schlüssel und Seed-Phrasen von den Geräten der Opfer ab. Sie nutzen eine Vielzahl von Vektoren, um Krypto-Nutzer anzugreifen, darunter gefälschte KI-Tools, Steam-Hintergründe und raubkopierte Spielmodifikationen. Das Ausmaß der Exposition ist enorm.
Eine frühere Aktion von Operation Endgame Ende letzten Jahres deckte Anmeldedaten für mehr als 100.000 Krypto-Wallets auf, die von Opfern gestohlen, aber noch nicht geleert wurden.
Rechtliche Maßnahmen und KI-Analyse
Microsofts Digital Crimes Unit reichte separat eine US-Racketeering-Klage ein, die zum ersten Mal zwei Malware-Familien als eine einzige kriminelle Verschwörung behandelte. Mithilfe von KI-Tools, darunter Copilot, um die Malware zu analysieren, fanden die Ermittler heraus, dass Amadey und StealC, obwohl von verschiedenen Kriminellen erstellt, auf einer gemeinsamen Infrastruktur liefen, was es Microsoft ermöglichte, die Unterstützer beider Operationen nach dem RICO-Gesetz zu belangen und mehr als 200 Command-and-Control-Server zu stören.
Seitdem wurden über 18.000 Opfercomputer identifiziert und die Kontrolle der Angreifer wurde begonnen zu unterbrechen. Solche Takedowns töten Malware selten vollständig, und die Betreiber neigen dazu, sich neu zu gruppieren, wobei StealC erst in diesem Monat eine neue Version verschickte.
Opferwarnungen
Derzeit leitet Europol zusammen mit seinen Partnern Opferwarnungen über Dienste wie Have I Been Pwned weiter, damit Nutzer überprüfen können, ob ihre Anmeldedaten und die Schlüssel zu ihren Wallets bereits in kriminellen Händen sind.
