Wichtige Highlights
Laut einem Bericht des Anti-Betrugsteams ScamSniffer verlor am 15. August ein Nutzer 140 ETH (ungefähr 636.500 USD zum Zeitpunkt des Schreibens), weil er die falsche Adresse aus seiner „infizierten“ Krypto-Übertragungshistorie kopierte. Das Vergiften von Krypto-Adressen basiert auf der Erstellung nahezu identischer Adressen. Angreifer senden kleine Transaktionen von Wallets, die den echten Nutzern sehr ähnlich sehen, um die Opfer zu täuschen, damit sie die falsche Adresse für zukünftige Überweisungen kopieren.
Laut Cointelegraph verlor am 10. August ein weiteres Opfer eines ähnlichen Angriffs 880.000 USD. Weitere Berichte deuten auf zwei weitere Fälle hin: einen mit einem Verlust von 80.000 USD und einen weiteren von 62.000 USD. In nur fünf Tagen gelang es Betrügern, mit dieser Methode mehr als 1,6 Millionen USD zu stehlen.
Phishing-Anfragen und Malware
Neben den Verlusten durch „Adressvergiftung“ berichtete ScamSniffer, dass in dieser Woche mindestens 600.000 USD verloren gingen, weil Nutzer bösartige Phishing-Anfragen wie „approve“, „increaseAllowance“ und „permit“ unterzeichneten. Am 12. August verlor ein Nutzer aufgrund solcher Aktionen BLOCK- und DOLO-Token im Wert von 165.000 USD.
Am 11. August entdeckten F6-Analysten ein Schema, das sich gegen russische Bürger richtete. Mit einem gefälschten Marktplatz für das beliebte Spielzeug Labubu boten Betrüger kostenlose Kryptowährung mit demselben Namen an. Um an der betrügerischen Aktion teilzunehmen, wurden die Nutzer aufgefordert, eine Krypto-Wallet zu verbinden. Nach der Aktivierung forderte die Website der Angreifer Zugriff auf die Kontoinformationen und die Krypto-Transaktionshistorie.
Wenn Vermögenswerte vorhanden waren, forderte die Benutzeroberfläche zusätzliche Berechtigungen an, um die Teilnahme am Airdrop zu überprüfen. Die Malware übertrug dann die Gelder des Opfers auf die Adressen der Betrüger.
Hacker überwachten Wallets; wenn sie leer waren, wurde den Nutzern die Teilnahme verweigert. Zuvor hatten Betrüger die Marke Labubu genutzt, um Telegram-Konten zu stehlen. Angreifer erstellten Bots, bei denen die Opfer angeblich ein Spielzeug gewinnen oder es für eine Bewertung erhalten konnten. Die Opfer gaben ihre Kontaktdaten an und gaben Codes ein, die sie über den Messenger erhielten, was zum Verlust des Zugangs zu ihrem Konto führte.
Die Rolle von Kaspersky Lab
Mitarbeiter von Kaspersky Lab haben eine Welle von Diebstählen aufgezeichnet, die mit der Substitution von Krypto-Wallet-Adressen verbunden sind. Der Efimer-Trojaner wird über gehackte WordPress-Seiten, Torrents und E-Mails verbreitet. Die Malware sammelt auch Anmeldeinformationen von kompromittierten Ressourcen für die weitere Spam-Verbreitung.
Experten weisen darauf hin, dass Angreifer Torrent-Dateien als Köder verwenden, um Einzelpersonen anzugreifen. Sie finden schlecht geschützte WordPress-Seiten und posten Nachrichten, die anbieten, neu veröffentlichte Filme herunterzuladen. Der Link führt zu einem passwortgeschützten Archiv, das eine bösartige Datei enthält, die als xmpeg_player.exe getarnt ist.
In Fällen, die Organisationen betreffen, zitieren Phishing-E-Mails Urheberrechtsverletzungen. Das infizierte Archiv enthält Details zusammen mit der bösartigen Datei, die beim Starten den Computer mit Efimer infiziert und nur eine Fehlermeldung anzeigt.
Der Trojaner ersetzt dann Krypto-Adressen in der Zwischenablage durch die Wallets des Angreifers und sucht nach Zeichenfolgen, die Seed-Phrasen ähneln. Er ist auch in der Lage, betrügerischen Code über das Tor-Netzwerk zur Selbstwiederherstellung auszuführen. Laut Kaspersky Lab waren von Oktober 2024 bis Juli 2025 5.015 Nutzer Efimer-Angriffen ausgesetzt. Die am stärksten betroffenen Länder waren Indien, Spanien, Russland, Italien und Deutschland.
Cyberangriffe auf kritische Infrastruktur
Pro-russische Hacker übernahmen die Kontrolle über kritische Betriebssysteme an einem Damm in Norwegen und öffneten die Ablassventile, berichtet Bleeping Computer. Hacker drangen in das digitale System ein, das den Wasserfluss am Bremanger-Damm steuert, und stellten die Ablassventile auf die offene Position. Die Betreiber benötigten etwa vier Stunden, um den Wasserfluss zu erkennen und abzuschalten. Bis dahin waren mehr als 7,2 Millionen Liter durch das System geflossen.
Der Angriff fand im April statt, wurde jedoch im August von Beate Gangos, der Leiterin des norwegischen Polizeisicherheitsdienstes, öffentlich gemacht. Sie erklärte, es sei weniger ein Versuch gewesen, Schaden anzurichten, als eine Demonstration der Fähigkeiten der Hacker.
Schwachstellen im Online-Händlerportal
Am 10. August berichtete der Cybersicherheitsforscher Harness Eaton Zveare gegenüber TechCrunch über eine Schwachstelle im Online-Händlerportal eines Autoherstellers. Diese ermöglichte die Offenlegung privater Kundendaten, Informationen über Autos und das Fernhacken von Fahrzeugen. Zveare wollte den Hersteller nicht benennen, bestätigte jedoch, dass es sich um einen bekannten Automobilhersteller mit mehreren beliebten Marken handelte.
Die Schwachstelle im Autorisierungssystem des Portals war schwer zu entdecken, aber nachdem sie gefunden wurde, umging Zveare den Anmeldeprozess vollständig, indem er ein neues Administratorkonto erstellte. Der anfällige Code wurde beim Laden in den Browser des Nutzers auf der Anmeldeseite geladen, was eine Modifikation und Umgehung der Sicherheitsüberprüfungen für die Autorisierung ermöglichte.
Mit dem Zugang konnte Zveare auf mehr als 1.000 Händler in den Vereinigten Staaten zugreifen. Er demonstrierte den Exploit, indem er eine VIN-Nummer von einem Auto auf einem Parkplatz nahm, um den Besitzer zu identifizieren.
Das Tool konnte auch nach Vor- und Nachnamen suchen. Mit Zugang zum Portal war es möglich, jedes Auto mit einem mobilen Konto zu verknüpfen, was die Kontrolle über bestimmte Funktionen – wie das Öffnen von Türen – über die App ermöglichte. Zveare testete nicht, ob er mit einem Auto wegfahren konnte, stellte jedoch fest, dass die Schwachstelle einen solchen Hack und potenziellen Diebstahl möglich machte.
