Krypto-Malware: Eine wachsende Bedrohung
Eine neue Welle von Krypto-Malware durchzieht die Welt der digitalen Vermögenswerte, und diesmal sind die Angreifer schlauer und vielseitiger als je zuvor. An der Spitze dieser neuen Bedrohung stehen die Librarian Ghouls, eine auf Russland fokussierte Advanced Persistent Threat (APT)-Gruppe, sowie Crocodilus, ein plattformübergreifender Stealer mit Wurzeln in Android-Banking-Trojanern.
Strategien der Librarian Ghouls
Die jüngste Kampagne der Librarian Ghouls nutzt legale Software wie AnyDesk, um Krypto-Miner und Keylogger zu verschleiern. Sobald die Malware in dein System eindringt, verhält sie sich im Hintergrund – bis zur Mitternachtsaktivierung.
Diese APT-Gruppe tarnt ihre Angriffe als routinemäßige Dokumente (z. B. Zahlungsaufträge) in Phishing-E-Mails. Öffnest du diese Datei, wird die Malware installiert: 4t Tray Minimizer, um schädliche Prozesse zu verstecken, AnyDesk für den Fernzugriff und XMRig, um Monero zu minen. Zudem stiehlt sie Krypto-Brieftaschenanmeldedaten und Registrierungsschlüssel.
Mitternachtsaktivierung und Crocodilus
Neu im Jahr 2025 ist die Mitternachtsaktivierung – die Malware wird nur nachts aktiv, um die Wahrscheinlichkeit einer Entdeckung durch Sicherheitsteams während der Arbeitszeiten zu minimieren. Dieses strategische Vorgehen ermöglicht es ihnen, Brieftaschenanmeldedaten zu stehlen und sensible Daten unbemerkt abzugreifen.
Crocodilus hat sich von einem türkischen Banking-Trojaner zu einer globalen Bedrohung entwickelt und bietet gefälschte Apps an, die sich als Coinbase, MetaMask oder Mining-Tools ausgeben. Er nutzt automatisierte Seed-Phrase-Harvester, die Geräte nach Brieftaschengeschäften durchsuchen, und wendet soziale Ingenieurskunst über gefälschte „Bank-Support“-Kontakte in den Telefonen der Nutzer an.
Kryptowährungsdiebstahl und Betrug
Die gefährlichste Funktion dieser Malware ist ihre Fähigkeit, Seed-Phrasen aus Zwischenablagedaten, Screenshots und Autofill-Daten zu stehlen, oft noch bevor das Opfer sich des Angriffs bewusst wird. Angreifer bieten Zugang zu den kompromittierten Brieftaschen in Darknet-Foren zum Verkauf an und haben damit einen florierenden Schwarzmarkt für gestohlene Kryptowährungswerte etabliert.
„Im Mai 2025 drängte ein Deepfake-Livestream mit „Elon Musk“, die Zuschauer dazu, einen QR-Code für ein „TeslaCoin“-Giveaway zu scannen. Die Opfer verloren innerhalb von 30 Minuten über 200.000 USD.“
Schutzmaßnahmen gegen Krypto-Malware
Um sich vor solchen Bedrohungen zu schützen, empfehlen Experten einen mehrschichtigen OPSEC-Ansatz. Dazu gehört:
- Die Nutzung von Hardware-Wallets für hochpreisige Investitionen.
- Die Aktivierung der Zwei-Faktor-Authentifizierung.
- Die strikte Geheimhaltung von Seed-Phrasen.
- Regelmäßige Überprüfungen der Brieftaschenfreigaben.
- Softwareaktualisierungen und das Trennen von Krypto-Operationen auf dedizierten Geräten.
Angesichts der fortschreitenden Innovation und Kreativität der Angreifer ist es wichtig, gut informiert und angemessen skeptisch zu bleiben.
