Bitcoin-Diebstahl im Darknet: Hacker infizieren Tor Browser

Anton Livshits

von Anton Livshits

Am · Lesezeit: 3 Minuten

Anton Livshits

Anton Livshits absolviert ein Masterstudium der Kulturwissenschaften an der Universität Leipzig. Seine Beschäftigung mit Krypto-Themen ist das Resultat eines grundlegenden Interesses am Wechselspiel von technischer Innovation und gesellschaftlichem Wandel.

Teilen

Quelle: Shutterstock

BTC13,343.09 $ -0.73%

Krytpo-Scammer schlugen erneut im Darknet zu. Um ahnungslosen Kunden von Darknet-Märkten die Bitcoin aus der Tasche zu ziehen, kam dieses Mal eine infizierte Variante des Tor Browsers zum Einsatz.

Hacker erbeuteten im Darknet Bitcoin im Wert von mindestens 40.000 US-Dollar. Dafür verbreiteten sie eine Version des Tor Browsers, die mit einem Trojaner infiziert war. Die Angriffe zielten auf russischsprachige Darknet-User.


Die IT-Experten von welivesecurity.com brachten den Bitcoin-Diebstahl am 18. Oktober ans Licht. Die Angriffe selber begannen allerdings bereits im Jahr 2017. Damals schleusten die Hacker einen Trojaner in ein offizielles Installationspaket des Tor Browers. Tor ist die am weitesten verbreitete Software, mit der sich Benutzer Zugriff zum Darknet und somit auch zu den Darknet-Marktplätzen verschaffen können. Die gestohlenen Bitcoin stammen von Kunden derartiger Märkte, auf denen Drogen und andere illegale Güter zum Verkauf angeboten werden.

Hacker vertauschten Bitcoin-Adressen

Um ihr Vorhaben in die Tat umzusetzen, boten die Bitcoin-Diebe das infizierte Tor-Installationspaket über zwei Webseiten zum Download an. Hierbei gaben sie an, die offizielle russischsprachige Variante des Tor Browsers zu verbreiten. Unabhängig von der tatsächlich verwendeten Tor-Version meldete die Webseite, dass ein Update des Browsers erforderlich sei. Dabei führte die Webseite zu der verseuchten Installationsdatei von Tor. Die Hacker nahmen nur geringfügige Veränderungen an dem Browser vor. Die Update-Funktion war deaktiviert, zudem protokollierte ein Script, welche Webseite gerade geöffnet ist.

Der Trojaner wusste so, wann einer der russischsprachigen Darknet-Märkte aufgerufen wurde, die im Fadenkreuz der Bitcoin-Diebe standen. Eben hier schlug der Virus zu. In dem Moment, als die potenziellen Schwarzmarktkunden Bitcoin über den in Russland weit verbreiteten Bezahl-Dienst QIWI einzahlen wollten, tauschte ein Script die Empfängeradressen. Die Bitcoin landeten nicht auf dem Konto der Nutzer, sondern bei den Krypto-Dieben. Das Team von welivesecurity machte im Rahmen ihrer Untersuchungen drei Bitcoin-Adressen aus, die für den Diebstahl zum Einsatz kamen. Zahlreiche kleine Transaktionen auf den Wallets legen eine solche Verwendung nahe.

Diebe machten von Russlands restriktiver Cyber-Poltik Gebrauch

Insbesondere bei der Verbreitung der schädlichen Software-Variante bewiesen die Hacker ein hohes Maß an Geschick. Zunächst bewarben sie die Webseite mit dem Trojaner über verschiedene russischsprachige Foren. Die dafür erstellten Postings deckten eine Vielzahl von Topics ab. Neben Software- und Krypto-Fragen ging es hierbei auch immer wieder um Fragen der Netzpolitik, wie etwa Möglichkeiten, die russische Internetzensur zu umgehen.

Ab dem März 2018 stiegen die Bitcoin-Diebe dann auf pastebin.com um. Mit vier Accounts verfassten sie eine Vielzahl von suchmaschinenoptimierten Werbetexten. Auch hierbei bewarben sie den Tor Browser mit dem Versprechen, Anonymität gegenüber den russischen Behörden zu erhalten. Die Postings erhielten insgesamt über eine halbe Millionen Views. Hieraus kann allerdings nicht auf die tatsächlichen Opferzahlen geschlossen werden.

Anzeige

Bitcoin handeln auf Plus500

Bitcoin, Ethereum, Ripple, IOTA und die bekanntesten Kryptowährungen (CFD) auf Plus500 sicher handeln.

Warum Plus500? Führende CFD Handelsplattform; 40.000 EUR Demo-Konto; Mobile Trading-App; starker Hebel; große Auswahl an verschiedenen Finanzprodukten (Kryptowährungen, Gold Aktien, Rohstoffe, ETFs, Devisen, Indizies).

Jetzt Konto eröffnen

76,4% der Kleinanlegerkonten verlieren Geld beim CFD-Handel mit diesem Anbieter [Anzeige].


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

Kryptokompass #40

Der Finanzmarkt im Fegefeuer

Polkadot (DOT)

Der Brückenbauer für das Internet von Morgen

Peter Großkopf

Der Blockchain CTO oder „der Banker mit Mütze“

Bitcoin.de

Der Bitcoin-Marktplatz Made in Germany

BTC-ACADEMY

Kryptowährungen einfach handeln

Plus500 der führende CFD Anbieter

  • Direkt mobil handeln
  • Einzahlung per Kreditkarte oder PayPal
  • Bitcoin,Ether,IOTA,Ripple, uvm.
  • inkl. Demokonto

76,4% der Kleinanlegerkonten verlieren Geld beim CFD Handel mit diesem Anbieter