Bitcoin-Diebstahl im Darknet: Hacker infizieren Tor Browser

Krytpo-Scammer schlugen erneut im Darknet zu. Um ahnungslosen Kunden von Darknet-Märkten die Bitcoin aus der Tasche zu ziehen, kam dieses Mal eine infizierte Variante des Tor Browsers zum Einsatz.

Anton Livshits
Teilen

Beitragsbild: Shutterstock

Hacker erbeuteten im Darknet Bitcoin im Wert von mindestens 40.000 US-Dollar. Dafür verbreiteten sie eine Version des Tor Browsers, die mit einem Trojaner infiziert war. Die Angriffe zielten auf russischsprachige Darknet-User.

Die IT-Experten von welivesecurity.com brachten den Bitcoin-Diebstahl am 18. Oktober ans Licht. Die Angriffe selber begannen allerdings bereits im Jahr 2017. Damals schleusten die Hacker einen Trojaner in ein offizielles Installationspaket des Tor Browers. Tor ist die am weitesten verbreitete Software, mit der sich Benutzer Zugriff zum Darknet und somit auch zu den Darknet-Marktplätzen verschaffen können. Die gestohlenen Bitcoin stammen von Kunden derartiger Märkte, auf denen Drogen und andere illegale Güter zum Verkauf angeboten werden.

Hacker vertauschten Bitcoin-Adressen

Um ihr Vorhaben in die Tat umzusetzen, boten die Bitcoin-Diebe das infizierte Tor-Installationspaket über zwei Webseiten zum Download an. Hierbei gaben sie an, die offizielle russischsprachige Variante des Tor Browsers zu verbreiten. Unabhängig von der tatsächlich verwendeten Tor-Version meldete die Webseite, dass ein Update des Browsers erforderlich sei. Dabei führte die Webseite zu der verseuchten Installationsdatei von Tor. Die Hacker nahmen nur geringfügige Veränderungen an dem Browser vor. Die Update-Funktion war deaktiviert, zudem protokollierte ein Script, welche Webseite gerade geöffnet ist.

Der Trojaner wusste so, wann einer der russischsprachigen Darknet-Märkte aufgerufen wurde, die im Fadenkreuz der Bitcoin-Diebe standen. Eben hier schlug der Virus zu. In dem Moment, als die potenziellen Schwarzmarktkunden Bitcoin über den in Russland weit verbreiteten Bezahl-Dienst QIWI einzahlen wollten, tauschte ein Script die Empfängeradressen. Die Bitcoin landeten nicht auf dem Konto der Nutzer, sondern bei den Krypto-Dieben. Das Team von welivesecurity machte im Rahmen ihrer Untersuchungen drei Bitcoin-Adressen aus, die für den Diebstahl zum Einsatz kamen. Zahlreiche kleine Transaktionen auf den Wallets legen eine solche Verwendung nahe.

Diebe machten von Russlands restriktiver Cyber-Poltik Gebrauch

Insbesondere bei der Verbreitung der schädlichen Software-Variante bewiesen die Hacker ein hohes Maß an Geschick. Zunächst bewarben sie die Webseite mit dem Trojaner über verschiedene russischsprachige Foren. Die dafür erstellten Postings deckten eine Vielzahl von Topics ab. Neben Software- und Krypto-Fragen ging es hierbei auch immer wieder um Fragen der Netzpolitik, wie etwa Möglichkeiten, die russische Internetzensur zu umgehen.

Ab dem März 2018 stiegen die Bitcoin-Diebe dann auf pastebin.com um. Mit vier Accounts verfassten sie eine Vielzahl von suchmaschinenoptimierten Werbetexten. Auch hierbei bewarben sie den Tor Browser mit dem Versprechen, Anonymität gegenüber den russischen Behörden zu erhalten. Die Postings erhielten insgesamt über eine halbe Millionen Views. Hieraus kann allerdings nicht auf die tatsächlichen Opferzahlen geschlossen werden.

Du möchtest Kryptowährungen kaufen?
Wir zeigen dir die besten Anbieter für den Kauf und Verkauf von Kryptowährungen wie Bitcoin, Ethereum, Solana & Co. In unserem Vergleichsportal findest du den für dich passenden Anbieter.
Zum Anbietervergleich