100K Returned - Malvertising Analysis
Nachrichten > Ermittlungen
Untersuchung • 5–7 Minuten Lesezeit

100.000 Dollar zurückerstattet – Malvertising-Betrug vereitelt

Russische Betrüger gaben sich mithilfe von Malvertising und Stealer-Malware als Krypto-Projekt aus. Wir haben die Aktion aufgedeckt, den Zugriff auf die Wallets wiederhergestellt und über 100.000 US-Dollar zurückerstattet. Die zusätzlich wiedergewonnenen Gelder wurden an @_SEAL_Org gespendet. Nachfolgend: Aufschlüsselung, IOCs und Erkenntnisse.

4 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
100.000 Dollar an Opfer zurückgezahlt – Gelder aufgespürt, Vermögenswerte eingefroren, Gelder zurückgezahlt (Infografik)
Ursprünglich veröffentlicht am Medium — PhishDestroy

Übersicht

Ein Kryptowährungsprojekt fiel einem Social-Engineering-Angriff zum Opfer, der als legitime Werbepartnerschaft getarnt war. PhishDestroy stellte den Zugriff auf die Wallet wieder her und sicherte die Daten über 100.000 Dollar in kompromittierte Gelder und leitete die angebotene Belohnung anschließend an eine externe Organisation weiter, um die Unabhängigkeit zu wahren.

Was Sie wissen müssen

  • Die Wallet war bereits gehackt worden; Gelder waren bereits abgezogen worden.
  • Der Zugang wurde wiederhergestellt und 100.000 $ und mehr wurde daran gehindert, beim Angreifer zu bleiben.
  • Im Rahmen des Projekts wurde eine Belohnung angeboten, die jedoch abgelehnt und an @_SEAL_Org stattdessen.
  • Diese Arbeit wird ehrenamtlich und unabhängig durchgeführt und stellt keine bezahlte Beschäftigung dar.

So funktionierte der Betrug

  • Das Opfer erhielt ein Kooperations- bzw. Werbeangebot für ein Kryptospiel.
  • Der Angriff wirkte glaubwürdig: eine professionelle Website, eine etablierte Präsenz auf X (Twitter) und Videoanrufe, die echt wirkten.
  • Während der Telefonate forderten die Angreifer die Installation eines „Workplace Viewers“ an, um auf die Unterlagen zugreifen zu können.
  • Der „Betrachter“ war Malware zum Stehlen.
  • Die Angreifer hoben Gelder ab, tauschten Token zwischen verschiedenen Blockchains aus und transferierten Vermögenswerte in ihre eigene Wallet.

Ergriffene Maßnahmen

  1. Der Kompromiss wurde bestätigt und weitere Schritte wurden gestoppt.
  2. Der rechtmäßige Eigentümer hat wieder Zugriff auf seine Wallet.
  3. Die Kontrolle über die Empfänger-Wallet des Angreifers wurde gesichert und an das Opferteam übertragen.
  4. Abgestimmte Folgemaßnahmen zur Verringerung des Restrisikos.
Ergebnis: Zugriff wiederhergestellt, Kontrolle zurückgewonnen, Angreifer ausgesperrt.

Sicherheitsmaßnahmen nach einem Vorfall

Gerätesicherheit

  • Schritt-für-Schritt-Anleitung zum sicheren Umgang mit infizierten Geräten
  • Netzwerkisolierung, Sitzungswiderruf, Rotation von Anmeldedaten und Schlüsseln, Plan für einen sauberen Neuaufbau

Betriebsaufbau

  • Ein neuer, sauberer Arbeitsplatz, der speziell für den Umgang mit Geldbörsen vorgesehen ist
  • Aktuelles Betriebssystem, herstellerspezifische Downloads, Hardware-Wallet, wenige Erweiterungen, separates Browserprofil, 2FA

Vorbereitung auf die forensische Untersuchung

  • Leitfaden zur Erstellung von Festplatten-Snapshots und zur Erfassung von System- und Anwendungsprotokollen
  • Sicherung von Beweismitteln für mögliche strafrechtliche Ermittlungen

Das Konzept des „Adverting“ verstehen

Werbung Es handelt sich um Social Engineering im geschäftlichen Umfeld, bei dem Kriminelle normale Arbeitsabläufe (Anzeigenkäufe, Partnerschaften, PR) imitieren, um die Installation bösartiger „Clients“ zu erwirken.

Häufige Warnzeichen:

  • „Installieren Sie unseren Anzeigenmanager/Helper, um Anzeigen zu synchronisieren“
  • „Nutzen Sie für den Anruf unseren eigenen Zoom-/Telegram-Client“
  • „Öffnen Sie unser Medienkit/unsere Vertraulichkeitsvereinbarung über einen sicheren Viewer“
Wichtige Regel: Wenn ein Workflow von unbekannten Absendern einen speziellen Client, Viewer oder Updater erfordert, sollten Sie grundsätzlich von böswilligen Absichten ausgehen. Verwenden Sie ausschließlich offizielle Downloads des Anbieters.

Die Belohnung und die Unabhängigkeit

  • Das Projekt bot eine Belohnung, da der Gewinn den ursprünglichen Verlust überstieg.
  • PhishDestroy lehnte es ab, die Belohnung zu behalten.
  • Der gesamte Überschuss floss in @_SEAL_Org.
  • Dadurch bleibt die Unabhängigkeit gewahrt – es gibt keine Finanzströme oder Verpflichtungen.

Grundprinzipien

  • Nur Unabhängigkeit – ohne Budgets und ohne Bedingungen.
  • Ein ergebnisorientierter Ansatz statt endloser Diskussionen.
  • Ablehnung jeglicher „Sonderkunden“ oder nicht geprüfter Software.
  • Selektive Offenlegung, die den Opfern hilft, nicht den Angreifern.
  • Direkter Druck auf die Infrastruktur des Angreifers.

Praktische Empfehlungen

Für Projekte und Teams

  • Installieren Sie niemals Viewer, Clients oder Update-Programme von nicht verifizierten Drittanbietern.
  • Beziehen Sie Zoom/Telegram ausschließlich von den offiziellen Anbieter-Websites.
  • Vermeiden Sie gesponserte Links zu Wallets, Bridges und Airdrops.
  • Bevorzugen Sie Hardware-Wallets mit Offline-Speicherung des Seed-Codes.
  • Im Falle einer Kompromittierung: Sitzungen beenden, Gelder transferieren, Schlüssel rotieren, Geheimnisse neu vergeben, sofort Hilfe in Anspruch nehmen.

Für die Gemeinschaft

Fazit

Obwohl bereits Gelder transferiert wurden, PhishDestroy Zugang wiederhergestellt und stellte sicher, dass der Angreifer die gestohlenen Vermögenswerte nicht behalten konnte. Indem die Organisation die Belohnung ablehnte und überschüssige Mittel anderweitig einsetzte, bewahrt sie ihr ehrenamtliches, unabhängiges Betriebsmodell, dessen Schwerpunkt auf einer schnellen und effektiven Reaktion auf Vorfälle liegt.

#Adverting #WalletRecovery #StealerMalware #SocialEngineering #CryptoSecurity

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Untersuchungen

Anatomy of Crypto Phishing: 8 Real Seed Phrase Stealers Reverse-Engineered
GRÜNDLICHE UNTERSUCHUNG
Die Anatomie des Krypto-Phishing: 8 echte Seed-Phrase-Stealer unter der Lupe
$0 Takedowns: How We Disrupt Phishing Infrastructure
UNTERSUCHUNG
Kostenlose Abschaltungen: Wie wir Phishing-Infrastrukturen zerschlagen
Scammers Exposed: 4 Scam Backends Dissected
UNTERSUCHUNG
Betrüger entlarvt: 4 Betrugsplattformen unter der Lupe
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Inhalte kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →