Sicherheitsforscher von Check Point Research haben eine Malware-Kampagne offengelegt, die kopierte Krypto-Wallet-Adressen heimlich gegen die der Angreifer austauscht. Der Schädling steckt in vermeintlichen Trading- und Glücksspiel-Tools, die schnelle Gewinne versprechen – etwa Solana– und Pump.fun-Sniperbots sowie sogenannte Aviator-Predictoren. Zielgruppe sind Krypto-Anleger und Online-Glücksspieler, die nach automatisierten Abkürzungen suchen. Der eingesetzte Schadcode ist ein klassischer Clipper, geschrieben in Rust und verfügbar für Windows und macOS.
Das eigentlich Bemerkenswerte an der Kampagne ist nicht die Technik. Clipboard-Hijacker existieren seit Jahren. Neu ist, wie aggressiv und plattformübergreifend die Angreifer Vertrauen fälschen, um ihre Tools legitim erscheinen zu lassen.
So funktioniert der Adresstausch
Nach der Installation nistet sich die Malware dauerhaft im System ein und überwacht fortlaufend die Zwischenablage. Sobald ein Nutzer eine Zeichenfolge kopiert, die dem Muster einer Wallet-Adresse entspricht, ersetzt das Programm sie unbemerkt durch eine Adresse aus einer einprogrammierten Liste. Unterstützt werden unter anderem Bitcoin, Ethereum, Litecoin, Tron, XRP und Cardano. Die eingebettete Liste umfasst nach Angaben von Check Point mehr als 15.500 Adressen, überwiegend Bitcoin.
Das Opfer glaubt, eine gewöhnliche Überweisung auszulösen, während die Coins direkt an die Täter fließen. Da Krypto-Transaktionen unumkehrbar sind und viele Nutzer lange Adressen nur teilweise prüfen, greift der Angriff selbst dann, wenn das Opfer die Transaktionsdaten oberflächlich kontrolliert hat. Auf macOS verschärft ein Begleitskript das Problem: Es leitet Nutzer dazu an, die Gatekeeper-Schutzmechanismen von Apple manuell zu umgehen. Eine selbstheilende Watchdog-Routine schreibt sich zudem regelmäßig neu und überlebt so manuelle Entfernungsversuche.
Gefälschtes Vertrauen über mehrere Plattformen
Den eigentlichen Hebel sieht Check Point in der manufakturierten Glaubwürdigkeit. Die Angreifer betreiben sogenannte Ghost Networks: Cluster aus gefälschten oder minderwertigen Konten, die genau jene Signale aufblähen, denen Nutzer instinktiv vertrauen. Auf GitHub kreuzpromoten mindestens sechs verknüpfte Accounts ihre Repositories gegenseitig und erzeugen so künstliche Sterne, Forks und Downloads. Ein einzelnes Repository wies 146 Sterne und 62 Forks auf. Auf SourceForge kletterte der Downloadzähler auf 44.485 – davon stammten 37.460 angeblich von Android-Geräten, obwohl die Software ausschließlich für Windows und macOS angeboten wurde. Check Point vermutet dahinter eine Gerätefarm zur künstlichen Aufblähung.
Auf YouTube betrieben die Täter einen Kanal mit mehr als 91.000 Abonnenten, auf dem KI-generierte Moderatoren durch vermeintlich echte Tutorials führten. Selbst VirusTotal wurde manipuliert: Konten platzierten wohlwollende Bewertungen und „sicher“-Kommentare auf bereits schwach erkannten Schaddateien. Diese Kombination aus niedriger Erkennungsrate und positivem Feedback kann nicht nur Endnutzer täuschen, sondern auch automatisierte, reputationsbasierte Schutzsysteme.
Eigene Meinung
Für Anleger verschiebt sich mit dieser Kampagne ein vertrauter Maßstab. Sterne, Downloadzahlen, Video-Aufrufe und Community-Kommentare galten lange als grobe Orientierung dafür, ob eine Software seriös ist. Genau diese Signale lassen sich heute kaufen und fälschen. Wer mit Kryptowährungen handelt, sollte Engagement-Kennzahlen daher nicht mit Sicherheit verwechseln und insbesondere bei Tools, die garantierte Gewinne oder einen unfairen Marktvorteil versprechen, grundsätzlich misstrauisch bleiben. Praktisch hilft, jede Wallet-Adresse vor dem Senden Zeichen für Zeichen zu prüfen und unter macOS niemals Anweisungen zu folgen, die das Umgehen von Sicherheitswarnungen verlangen. Die Einordnung gilt gleichermaßen für erfahrene Trader wie für Einsteiger, denn der Angriff setzt nicht an technischer Unwissenheit an, sondern am verständlichen Wunsch nach schnellen, automatisierten Erträgen.
Raphael Lulay ist Herausgeber und Redakteur von boersen-parkett.de. Er verfügt über einen akademischen Hintergrund in Politik, Soziologie und Verwaltung (B.A.) und berichtet seit 2018 über Kryptowährungen, Bitcoin, Altcoins und digitale Kapitalmärkte. Neben seiner Tätigkeit auf boersen-parkett.de veröffentlicht er regelmäßig Beiträge auf Block-Builders.de und Bitcoin-2Go.de. Zuvor schrieb er auch für Finanzpublikationen wie Fonds Finanz und das B.MAG Bankenmagazin. Sein Fokus liegt auf der datenbasierten Einordnung von Marktbewegungen, Kapitalflüssen, Regulierung und Krypto-Trends für Anleger. E-Mail: [email protected]
Boersen-Parkett bei Google als bevorzugte Nachrichtenquelle markieren und keine Finanz- und Krypto-News mehr verpassen.