{"id":3564,"date":"2025-04-23T16:39:06","date_gmt":"2025-04-23T16:39:06","guid":{"rendered":"https:\/\/satoshibrother.com\/de\/malware-kampagne-zielt-auf-krypto-wallets-mit-gefalschter-pdf-konvertierungssoftware-ab\/"},"modified":"2025-04-23T16:39:06","modified_gmt":"2025-04-23T16:39:06","slug":"malware-kampagne-zielt-auf-krypto-wallets-mit-gefalschter-pdf-konvertierungssoftware-ab","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/de\/malware-kampagne-zielt-auf-krypto-wallets-mit-gefalschter-pdf-konvertierungssoftware-ab\/","title":{"rendered":"Malware-Kampagne zielt auf Krypto-Wallets mit gef\u00e4lschter PDF-Konvertierungssoftware ab"},"content":{"rendered":"

Einf\u00fchrung<\/h2>\n

Eine Malware-Kampagne<\/strong> verwendet gef\u00e4lschte PDF-zu-DOCX-Konverter als Angriffsvektor, um b\u00f6sartige PowerShell-Befehle auf Rechner einzuschleusen. Dies erm\u00f6glicht den Angreifern den Zugriff auf Krypto-Wallets<\/strong>, das Hijacking von Browser-Anmeldedaten<\/strong> und den Diebstahl sensibler Informationen.<\/p>\n

Untersuchung und Erkenntnisse<\/h2>\n

Nach einer Warnung des FBI<\/strong> im letzten Monat hat das Sicherheitsforschungsteam von CloudSEK<\/strong> eine Untersuchung durchgef\u00fchrt, die Einblicke in diese Angriffe bietet. Das Ziel dieser Kampagne ist es, die Benutzer zu t\u00e4uschen, indem sie einen PowerShell-Befehl<\/strong> ausf\u00fchren, der die Arechclient2-Malware installiert, eine Variante von SectopRAT<\/strong>, einer Familie von Informationsdieben, die daf\u00fcr bekannt ist, sensible Daten der Opfer zu ernten.<\/p>\n

Betr\u00fcgerische Websites<\/h2>\n

Die b\u00f6sartigen Websites geben sich als die legitime Datei-Konvertierungssoftware PDFCandy<\/strong> aus, laden jedoch nicht die echte Software herunter, sondern die Malware. Diese Seiten weisen Ladebalken<\/strong> und sogar CAPTCHA-Verifikationen<\/strong> auf, um ein falsches Gef\u00fchl von Sicherheit zu vermitteln.<\/p>\n

Malware-Infektion<\/h2>\n

Letztendlich l\u00e4dt der Rechner des Opfers nach mehreren Weiterleitungen eine Datei namens „adobe.zip“<\/em> herunter, die die sch\u00e4dliche Nutzlast enth\u00e4lt. Dadurch wird das Ger\u00e4t f\u00fcr einen Remote Access Trojaner (RAT)<\/strong> anf\u00e4llig, der seit 2019 aktiv ist. Dies l\u00e4sst die Benutzer anf\u00e4llig f\u00fcr Datendiebstahl, einschlie\u00dflich Browser-Anmeldedaten und Informationen zu Kryptow\u00e4hrungs-Wallets.<\/p>\n

Technische Details und Expertentipps<\/h2>\n

Die Malware \u00fcberpr\u00fcft Erweiterungs-Stores<\/strong>, stiehlt Seed-Phrasen<\/strong> und zapft sogar Web3-APIs an, um Verm\u00f6genswerte nach Genehmigung abzuziehen, erkl\u00e4rte Stephen Ajayi<\/strong>, Technischer Leiter bei Dapp Audit der Blockchain-Sicherheitsfirma Hacken, gegen\u00fcber Decrypt<\/em>.<\/p>\n

\n

CloudSEK<\/strong> riet den Nutzern, Antivirus-<\/strong> und Antimalware-Software<\/strong> einzusetzen und „Dateitypen \u00fcber nur die Erweiterung hinaus zu \u00fcberpr\u00fcfen, da b\u00f6sartige Dateien oft als legitime Dokumenttypen maskiert sind.“<\/p>\n<\/blockquote>\n

Dar\u00fcber hinaus empfiehlt die Cybersecurity-Firma, sich auf „vertrauensw\u00fcrdige, seri\u00f6se Datei-Konvertierungstools von offiziellen Websites zu verlassen, anstatt nach ‚kostenlosen Online-Dateikonvertern‘ zu suchen“ und in Erw\u00e4gung zu ziehen, „Offline-Konvertierungstools zu nutzen, die kein Hochladen von Dateien auf externe Server erfordern.“<\/p>\n

\n

Ajayi von Hacken mahnte Krypto-Nutzer, sich bewusst zu sein: „Vertrauen ist ein Spektrum, es wird verdient, nicht gegeben. In der Cybersicherheit sollte man annehmen, dass nichts standardm\u00e4\u00dfig sicher ist.“<\/p>\n<\/blockquote>\n

Er f\u00fcgte hinzu, dass Nutzer „eine Nullvertrauenshaltung einnehmen und ihren Sicherheits-Stack st\u00e4ndig aktualisieren sollten, insbesondere EDR- und AV-Tools, die Verhaltensanomalien wie b\u00f6sartige msbuild.exe-Aktivit\u00e4ten erkennen k\u00f6nnen.“ Ajayi bemerkte: „Angreifer entwickeln sich st\u00e4ndig weiter, und das sollten Verteidiger auch.“<\/p>\n

\n

Er betonte die Notwendigkeit von regelm\u00e4\u00dfigen Schulungen, situativer Bewusstheit und strengen Erkennungskontrollen und riet: „Bleiben Sie skeptisch, bereiten Sie sich auf Worst-Case-Szenarien vor und halten Sie immer ein getestetes Notfallreaktionsspielbuch bereit.“ <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Einf\u00fchrung Eine Malware-Kampagne verwendet gef\u00e4lschte PDF-zu-DOCX-Konverter als Angriffsvektor, um b\u00f6sartige PowerShell-Befehle auf Rechner einzuschleusen. Dies erm\u00f6glicht den Angreifern den Zugriff auf Krypto-Wallets, das Hijacking von Browser-Anmeldedaten und den Diebstahl sensibler Informationen. Untersuchung und Erkenntnisse Nach einer Warnung des FBI im letzten Monat hat das Sicherheitsforschungsteam von CloudSEK eine Untersuchung durchgef\u00fchrt, die Einblicke in diese Angriffe bietet. Das Ziel dieser Kampagne ist es, die Benutzer zu t\u00e4uschen, indem sie einen PowerShell-Befehl ausf\u00fchren, der die Arechclient2-Malware installiert, eine Variante von SectopRAT, einer Familie von Informationsdieben, die daf\u00fcr bekannt ist, sensible Daten der Opfer zu ernten. Betr\u00fcgerische Websites Die b\u00f6sartigen Websites geben sich<\/p>\n","protected":false},"author":3,"featured_media":3563,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[65,1927,221],"class_list":["post-3564","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-hack","tag-hacken","tag-web3"],"yoast_description":"Eine Malware-Kampagne nutzt gef\u00e4lschte PDF-Konverter, um \u00fcber b\u00f6sartige PowerShell-Befehle Krypto-W\u00e4hrungen und sensible Daten zu stehlen, die auf Krypto-Wallets abzielen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/3564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=3564"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/3564\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/3563"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=3564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=3564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=3564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}