Yahoo Finanzen Bitcoin-Diebstahl im Darknet: Hacker infizieren Tor Browser
Hacker erbeuteten im Darknet Bitcoin im Wert von mindestens 40.000 US-Dollar. Dafür verbreiteten sie eine Version des Tor Browsers, die mit einem Trojaner infiziert war. Die Angriffe zielten auf russischsprachige Darknet-User.
Die IT-Experten von welivesecurity.com brachten den Bitcoin-Diebstahl am 18. Oktober ans Licht. Die Angriffe selber begannen allerdings bereits im Jahr 2017. Damals schleusten die Hacker einen Trojaner in ein offizielles Installationspaket des Tor Browers. Tor ist die am weitesten verbreitete Software, mit der sich Benutzer Zugriff zum Darknet und somit auch zu den Darknet-Marktplätzen verschaffen können. Die gestohlenen Bitcoin stammen von Kunden derartiger Märkte, auf denen Drogen und andere illegale Güter zum Verkauf angeboten werden.
Hacker vertauschten Bitcoin-Adressen
Um ihr Vorhaben in die Tat umzusetzen, boten die Bitcoin-Diebe das infizierte Tor-Installationspaket über zwei Webseiten zum Download an. Hierbei gaben sie an, die offizielle russischsprachige Variante des Tor Browsers zu verbreiten. Unabhängig von der tatsächlich verwendeten Tor-Version meldete die Webseite, dass ein Update des Browsers erforderlich sei. Dabei führte die Webseite zu der verseuchten Installationsdatei von Tor. Die Hacker nahmen nur geringfügige Veränderungen an dem Browser vor. Die Update-Funktion war deaktiviert, zudem protokollierte ein Script, welche Webseite gerade geöffnet ist.
Der Trojaner wusste so, wann einer der russischsprachigen Darknet-Märkte aufgerufen wurde, die im Fadenkreuz der Bitcoin-Diebe standen. Eben hier schlug der Virus zu. In dem Moment, als die potenziellen Schwarzmarktkunden Bitcoin über den in Russland weit verbreiteten Bezahl-Dienst QIWI einzahlen wollten, tauschte ein Script die Empfängeradressen. Die Bitcoin landeten nicht auf dem Konto der Nutzer, sondern bei den Krypto-Dieben. Das Team von welivesecurity machte im Rahmen ihrer Untersuchungen drei Bitcoin-Adressen aus, die für den Diebstahl zum Einsatz kamen. Zahlreiche kleine Transaktionen auf den Wallets legen eine solche Verwendung nahe.
Diebe machten von Russlands restriktiver Cyber-Poltik Gebrauch
Insbesondere bei der Verbreitung der schädlichen Software-Variante bewiesen die Hacker ein hohes Maß an Geschick. Zunächst bewarben sie die Webseite mit dem Trojaner über verschiedene russischsprachige Foren. Die dafür erstellten Postings deckten eine Vielzahl von Topics ab. Neben Software- und Krypto-Fragen ging es hierbei auch immer wieder um Fragen der Netzpolitik, wie etwa Möglichkeiten, die russische Internetzensur zu umgehen.
Ab dem März 2018 stiegen die Bitcoin-Diebe dann auf pastebin.com um. Mit vier Accounts verfassten sie eine Vielzahl von suchmaschinenoptimierten Werbetexten. Auch hierbei bewarben sie den Tor Browser mit dem Versprechen, Anonymität gegenüber den russischen Behörden zu erhalten. Die Postings erhielten insgesamt über eine halbe Millionen Views. Hieraus kann allerdings nicht auf die tatsächlichen Opferzahlen geschlossen werden.
Source: BTC-ECHO
Der Beitrag Bitcoin-Diebstahl im Darknet: Hacker infizieren Tor Browser erschien zuerst auf BTC-ECHO.
