Die Angreifer stehlen massenhaft Krypto-Konten von Coinbase, MetaMask, Crypto.com und KuCoin. Auch 2FA ist für die Hacker kein Hindernis.
Angefangen mit Coinbase nehmen Angreifer einer neuen Phishing-Kampagne mittlerweile auch Benutzerkonten von MetaMask, Crypto.com und KuCoin ins Visier. Sie umgehen dabei gezielt Zwei-Faktor-Authentifizierungen und kommunizieren mit ihren Opfern über einen betrügerischen Support-Chat. In letzter Instanz missbrauchen sie sogar TeamViewer, um ihre eigenen Geräte auf den Krypto-Plattformen als vertrauenswürdig einzustufen.
Coinbase-, MetaMask-, Crypto.com- und KuCoin-Konten in Gefahr
Angreifer missbrauchen derzeit den Web-App-Dienst von Microsoft Azure, um darüber Phishing-Webseiten zu hosten. Die auf Krypto-Diebstahl ausgerichtete Kampagne hat es auf Benutzerkonten von Coinbase, MetaMask, Crypto.com und KuCoin abgesehen. Dabei umgehen die Angreifer gezielt die Zwei-Faktor-Authentifizierung der jeweiligen Portale.
Besucht eine Zielperson eine dieser Phishing-Webseiten per Klick auf einen Link in einer Phishing-E-Mail, so erscheint dort ein vermeintliches Chatfenster, das vorgibt, mit dem „Kundensupport“ der Krypto-Plattform verbunden zu sein. Tatsächlich sitzt am anderen Ende jedoch ein Betrüger, der sein Opfer gezielt durch einen Prozess leitet.
Sicherheitsforscher haben die zunächst ausschließlich auf Coinbase ausgerichtete Kampagne bereits seit 2021 beobachtet. Später weiteten die Angreifer ihre Masche jedoch laut BleepingComputer auf weitere Plattformen wie MetaMask, Crypto.com und KuCoin aus.
Auch 2FA ist für die Angreifer kein Hindernis
Selbst durch Zwei-Faktor-Authentifizierung (2FA) geschützte Konten sind vor dieser Kampagne nicht sicher. Denn auf den Phishing-Seiten findet sich auch ein gefälschtes Anmeldeformular, das zur Eingabe eines 2FA-Codes auffordert.
Dafür leiten die Angreifer die eingegebenen Zugangsdaten, beispielsweise für Coinbase, an die legitime Webseite weiter, damit das Opfer den jeweiligen 2FA-Code (zum Beispiel per SMS) erhält und in dem betrügerischen Anmeldeformular eingibt. Damit können die Betrüger das Benutzerkonto ihrer Zielperson schließlich übernehmen.
Bei Phishing-Angriffen auf MetaMask-Konten ist der Ablauf natürlich etwas anders. Denn dort greifen die Betrüger die Recovery Phrase ihres Opfers ab. Da man dafür keine 2FA-Codes benötigt, ist der Prozess insgesamt etwas einfacher gestrickt.
Abfrage von Anmeldedaten zu Konten von Coinbase & Co. via Support-Chat
Im nächsten Schritt erhält der Anwender eine gefälschte Fehlermeldung, die ihn darauf hinweist, dass beispielsweise sein Coinbase-Konto aufgrund verdächtiger Aktivitäten gesperrt wurde. Um die Angelegenheit zu klären, verweist die betrügerische Webseite auf den Support-Chat, über den die Angreifer schließlich mit ihrem Opfer kommunizieren.
Dort fragen die Hacker mitunter erneut die Zugangsdaten ab, falls die ursprünglich eingegebenen Daten fehlerhaft waren. Neben Benutzernamen und Passwörtern erbitten sie bei Bedarf auch weitere 2FA-Codes. Nebenbei versucht der vermeintliche Support-Mitarbeiter durch Eingabe der Anmeldedaten auf der legitimen Webseite erneut das Konto zu übernehmen.
Ist die Übernahme schließlich gelungen, so initiieren die Angreifer Überweisungen und räumen damit die Wallet ihres Opfers leer. Währenddessen bleibt der Support-Chat aktiv, falls die Zielperson einzelne Transaktionen von Coinbase & Co. bestätigen muss.
Auch TeamViewer gehört zum Werkzeugkasten der Angreifer
Um ihr eigenes Gerät als vertrauenswürdig auf der jeweiligen Krypto-Plattform zu hinterlegen, fordern die Angreifer zunächst einen Zugriff per TeamViewer bei ihrer Zielperson an. Anschließend bitten sie das Opfer, sich an ihrem Krypto-Account anzumelden.
Während der Benutzer sein Passwort eingibt, fügen die Betrüger ein zufälliges Zeichen ein, was zu einem Anmeldefehler von der Plattform, wie zum Beispiel Coinbase, führt. Um die Login-Daten zu prüfen, fordern die Cyberkriminellen daraufhin ihr Opfer auf, ihre Zugangsdaten in den TeamViewer-Chat einzufügen.
Schließlich schnappen sich die Angreifer die Zugangsdaten, entfernen das selbst eingefügte Zeichen aus dem Passwort und melden im Hintergrund ihr eigenes Gerät auf der jeweiligen Plattform an. Den von der Krypto-Plattform an die Zielperson gesendeten Bestätigungslink für die Anmeldung holen sich die Betrüger dann ebenfalls über die offene TeamViewer-Sitzung.