Betrüger nutzen Inferno Drainer, um CoinMarketCap-Benutzern 43.000 US-Dollar zu stehlen

Ein koordinierter Krypto-Diebstahl gegen CoinMarketCap-Nutzer wurde aufgedeckt, nachdem geleakte Bilder aus einem Telegram-Kanal namens TheCommsLeaks aufgetaucht waren. Der Angriff nutzte eine überzeugende Aufforderung zur Wallet-Verbindung, die in die CoinMarketCap-Oberfläche eingebettet war, und verleitete Nutzer dazu, Zugriff auf ihre Wallets zu gewähren. Das Ergebnis: Krypto-Guthaben im Wert von über 43.000 US-Dollar wurden innerhalb weniger Stunden abgezogen.

Laut Tammy H, einer leitenden Threat Intelligence Researcherin und zertifizierten Dark Web Investigator bei Flare.io, einem in Kanada ansässigen Unternehmen für Cybercrime-Informationen, wurde der Angriff mit Inferno Drainer durchgeführt, einem bekannten Toolkit zum Geldausgeben, das mit früheren Kampagnen in Verbindung gebracht wird.

Die Methode war einfach, aber effektiv. Nutzer von CoinMarketCap erhielten die Aufforderung, ihr Wallet zu verifizieren, um auf Funktionen zugreifen zu können. Die Meldung sah identisch mit den legitimen Pop-ups auf der Plattform aus, sodass Nutzer keinen Grund hatten, daran zu zweifeln. Nach der Verbindung wurden die Wallets jedoch stillschweigend von allen darin enthaltenen Vermögenswerten geleert.

Eine im Leak zitierte Quelle behauptete, die Aufforderung sei auf fast jeder Seite der Website erschienen. „Stellen Sie sicher, dass sie auf jeder Seite erscheint“, hieß es in einer Nachricht. „Die meisten Leute haben Münzen angepinnt … sobald sie die Website aufrufen.“

Der Angreifer schien sich darauf zu konzentrieren, die Sichtbarkeit zu erhöhen und die Anzahl der Wallet-Verbindungen zu maximieren. Einige Berichte deuten darauf hin, dass sogar der Verbindungsbutton aufgrund zu häufiger Darstellung nicht mehr richtig funktionierte.

Laut Tommy Hs Analyse begann der Telegram-Kanal TheCommsLeaks am 20. Juni gegen 19:30 Uhr Ortszeit mit der Veröffentlichung von Details. Die Nachrichten enthielten Screenshots eines vom Angreifer verwendeten Live-Dashboards. Diese Grafiken zeigten Wallet-Verbindungen, Token-Transfers und die Gesamtsumme der in Echtzeit abgezogenen Beträge.

Erste Zahlen zeigten 67 erfolgreiche Treffer und über 1.300 Wallet-Verbindungen. Die Auszahlung lag bereits in der ersten Welle bei über 21.000 US-Dollar. Bis zum Ende der Kampagne belief sich die Gesamtsumme auf 43.266 US-Dollar, die von 110 Opfern erbeutet wurden.

Zu den abgezweigten Token gehörten SOL, XRP, EVT und kleinere Coins wie PENGU und SHDW. Eine Transaktion im Wert von 1.769 US-Dollar in XRP war mit einer auf BscScan sichtbaren Wallet verknüpft und bestätigte den Diebstahl öffentlich.

Der Forscher stellte jedoch fest, dass nicht jeder Versuch erfolgreich war. Protokolle aus dem Toolkit des Angreifers zeigten zudem mehrere fehlgeschlagene Abflüsse, typischerweise aufgrund von Wallets mit nicht unterstützten Token oder vernachlässigbaren Guthaben.

Nach zunehmenden Spekulationen darüber, ob der Angriff von einer gefälschten Domain ausging, ging CoinMarketCap direkt auf das Problem ein. In einer auf X veröffentlichten Erklärung erklärte das Unternehmen, ein auf der Homepage angezeigtes Doodle-Bild habe über einen eingebetteten API-Aufruf Schadcode ausgelöst. Diese Sicherheitslücke führte dazu, dass bei einigen Nutzern die Aufforderung zur Eingabe eines nicht autorisierten Wallets angezeigt wurde.

Das Unternehmen bestätigte, dass sein Sicherheitsteam unmittelbar nach der Entdeckung des Problems reagiert habe. Die schädlichen Inhalte wurden entfernt und interne Systeme gepatcht, um weiteren Missbrauch zu verhindern.

„Alle Systeme sind jetzt voll funktionsfähig und CoinMarketCap ist für alle Benutzer sicher“, erklärte das Unternehmen und fügte hinzu, dass es die Situation weiterhin beobachtet und Support bietet.

Dieser Vorfall zeigt, wie selbst kleine Änderungen an der Benutzeroberfläche, selbst wenn es sich um etwas so Harmloses wie ein Homepage-Doodle handelt, für großen Schaden genutzt werden können. Die Nutzung der Umgebung einer legitimen Plattform zur Bereitstellung bösartiger Eingabeaufforderungen ist äußerst besorgniserregend und zeigt, wie leicht das Vertrauen in vertraute Benutzeroberflächen missbraucht werden kann.

In einem anderen Vorfall, über den Hackread erst letzte Woche berichtete , nutzten Betrüger Suchanzeigen, um Nutzer dazu zu verleiten, gefälschte Supportnummern anzurufen, die auf echten Websites wie Apple und PayPal angezeigt wurden. Obwohl technisch nichts miteinander zu tun hat, zeigen beide Fälle, wie Angreifer auf die Annahmen der Nutzer darüber vertrauen, was im Internet sicher ist.

Derzeit wird Benutzern empfohlen, Wallets nicht direkt über Pop-ups zu verbinden und alle Eingabeaufforderungen anhand der offiziellen Richtlinien der Plattform zu überprüfen. Wenn etwas vertraut aussieht, bedeutet das nicht immer, dass es sicher ist.