Empfohlen

Krypto-Einzahlung Führen Sie sofortige Krypto-Transfers auf Ihr Futures-Konto durch
USDT-M Perpetual Futures Handeln Sie Futures-Kontrakte, die in USDT abgerechnet werden
Rabatte auf VIP-Gebühren Genießen Sie verschiedene Gebührenrabatte je nach Ihrem VIP-Level
Coin-M Perpetual Futures Handeln Sie Futures-Kontrakte, die in Kryptowährungen abgerechnet werden
Fiat-Einzahlung Kaufen Sie Ihre Lieblingscoins in Sekundenschnelle
Partner Freunde einladen & belohnt werden
Konvertieren Konvertieren Sie Ihre Kryptowährungen sofort
Support-Center Hier finden Sie unsere FAQs
Ankündigungen Finden Sie alle unsere offiziellen Ankündigungen
BTCC Academy Erfahren Sie mehr über Blockchain und Krypto
Nachrichten Die neuesten Trends auf dem Kryptomarkt

Sonderangebote

Empfehlung
Kampagnen
Assets
Krypto-Einzahlung
Fiat-Einzahlung
Konvertieren
Transfer
Abheben
Meine Gutscheine
Fonds-Geschichte
Dashboard
Kontosicherheit
Identitätsverifizierung
API-Management
Transaktionsbericht
Abmelden
registrieren
BTCC / BTCC Square / CryptopolitanDE /
Hacker zielen mit gefälschter reCAPTCHA-Pop-up-Kampagne auf Krypto-Wallets und Browserdaten ab

Hacker zielen mit gefälschter reCAPTCHA-Pop-up-Kampagne auf Krypto-Wallets und Browserdaten ab

Author:
CryptopolitanDE
Published:
2025-11-18 11:33:14
16
2

Hacker zielen mit gefälschter reCAPTCHA-Pop-up-Kampagne auf Krypto-Wallets und Browserdaten ab

Cyberkriminelle haben eine raffinierte Phishing-Offensive gestartet, die sich als harmlose reCAPTCHA-Verifizierung tarnt.

Die Taktik: Gefälschte Pop-ups fordern Nutzer zur Bestätigung ihrer Identität auf - doch hinter der Masche verbirgt sich Malware, die gezielt Krypto-Wallets und sensible Browserinformationen ausspäht.

Wie die Attacke funktioniert: Besucher legitimer Websites werden mit täuschend echten reCAPTCHA-Nachrichten konfrontiert. Wer auf die Aufforderung klickt, lädt unbemerkt Schadsoftware herunter, die automatisch nach Wallet-Dateien, Passwörtern und privaten Schlüsseln sucht.

Die Sicherheitslücke: Selbst erfahrene Krypto-Nutzer fallen auf die raffinierte Social-Engineering-Methode herein, weil reCAPTCHA als vertrauenswürdiges Sicherheitselement wahrgenommen wird.

Schutzmaßnahmen: Never store private keys in browser storage - use hardware wallets for significant amounts. Regelmäßige Sicherheitsupdates und gesundes Misstrauen gegenüber unerwarteten Pop-up-Aufforderungen bleiben die beste Verteidigung.

Ironie des digitalen Zeitalters: Ausgerechnet das Sicherheitstool, das Mensch von Maschine unterscheiden soll, wird zur Waffe gegen ahnungslose Nutzer - während die Finanzbranche weiterhin über 'banking-grade security' für Krypto-Anwendungen diskutiert.

Die ClickFix-Kampagne nutzt reCAPTCHA, um Schadsoftware einzuschleusen.

veröffentlichten Studie von eSentire locken Hacker ihre Opfer mit gefälschten Webseiten und Pop-ups, die wie „Sicherheitsüberprüfungen“ aussehen, darunter betrügerische reCAPTCHA-Verifizierungsfelder und gefälschte Cloudflare Turnstile-Seiten.

Die irreführenden Benutzeroberflächen fordern Nutzer auf, ein vermeintliches Problem zu „beheben“. Die Anweisungen verleiten sie dazu, schädliche Befehle auszuführen, ohne die Risiken zu erkennen. Nach Ausführung des ersten Befehls wird zunächst Amatera Stealer installiert, gefolgt von NetSupport Manager. Dieser ermöglicht es Hackern, den kompromittierten Rechner zu überwachen und zu steuern, als wären sie physisch anwesend.

Amatera Stealer ist keine völlig neue Bedrohung, sondern die neueste Weiterentwicklung von ACR Stealer, auch bekannt als AcridRain. Die Vorgängerversion tauchte 2024 erstmals als Malware-as-a-Service-Produkt in Hackerforen auf und wurde von mehreren Nutzern über Abonnementpakete verbreitet.

Der Verkauf von ACR wurde Mitte 2024 eingestellt, nachdem der Entwickler, online bekannt als SheldIO, den Quellcode der Malware verkauft hatte. Trotz der Verkaufsankündigung erklärte die Gruppe, die Entwicklung Sei „nicht beendet“. Forscher gehen nun davon aus, dass Amatera der direkte Nachfolger von ACR ist, neu entwickelt mit erweiterten Funktionen und neuen Verschleierungstechniken.

Amatera, das im Juni von der Sicherheitsprüfungsfirma Proofpoint entdeckt wurde, ist im Abonnement AB 199 US-Dollar pro Monat bis 1499 US-Dollar pro Jahr erhältlich.

„Amatera bietet Angreifern umfangreiche Möglichkeiten zur Datenexfiltration, die auf Krypto-Wallets, Browser, Messaging-Anwendungen, FTP-Clients und E-Mail-Dienste abzielen. Es nutzt fortschrittliche Ausweichstrategien wie WoW64 SysCalls, um die von Sandboxes, Antivirenlösungen und EDR-Produkten verwendeten Benutzermodus-Hooking-Mechanismen zu umgehen“, so eSentire.

Die Malware ist in C++ geschrieben und kann gespeicherte Passwörter, Kartendaten, Browserverläufe und Dateien aus Browsern wie Chrome, Brave, Edge, Opera, Firefox und spezialisierten Plattformen wie Tor Browser und Thunderbird auslesen

Mehrstufige Windows PowerShell-Loader verbergen Schadsoftware

Laut der Bedrohungsanalyse von eSentire basiert der Infektionsprozess von Amatera auf mehreren Ebenen verschleierter PowerShell-Befehle. 

Die Forscher von TRU beobachteten, wie in einer Phase nachfolgende Nutzdaten mithilfe einer XOR-Verknüpfung der Zeichenkette „AMSI_RESULT_NOT_DETECTED“ entschlüsselt wurden – ein Begriff, der mit der Anti-Malware-Scan-Schnittstelle von Microsoft in Verbindung steht. Der Entwickler des Loaders könnte diese Formulierung absichtlich gewählt haben, um die Forscher bei der dynamischen Analyse zu verwirren.

Amatera ist zwar die am häufigsten in diesen Kampagnen eingesetzte Schadsoftware, eSentire dokumentierte jedoch auch Fälle, in denen derselbe Loader zur Verbreitung anderer Infostealer wie Lumma und Vidar verwendet wurde. Bei einigen Samples fehlten die Konfigurationsparameter für die Ausführung mehrstufiger Loader; in diesen Fällen entschieden sich die Hacker stattdessen für die direkte Installation des NetSupport Managers.

eSentire und andere Sicherheitsfirmen haben E-Mail-Kampagnen dokumentiert, bei denen Visual Basic Script-Dateien als Rechnungen getarnt wurden. Beim Öffnen führten die Dateien Batch-Skripte aus, die PowerShell-Loader starteten und so XWorm einschleusten.

Andere Kampagnen nutzten kompromittierte Websites, die Besucher auf gefälschte Cloudflare-Verifizierungsseiten umleiteten, welche ClickFix-Aufforderungen imitierten. Diese Aktivitäten werden einer Operation zugeschrieben, die unter Namen wie SmartApeSG, HANEYMANEY und ZPHP bekannt ist und in deren finaler Payload jeweils NetSupport RAT verwendet.

Hacker hatten betrügerische Booking.com-Websites erstellt, die gefälschte CAPTCHA-Prüfungen enthielten, die Benutzer anwiesen, den Windows-Ausführen-Dialog zu öffnen und einen Befehl auszuführen, und die direkt ein Skript zum Stehlen vondentauf infizierten Systemen installierten.

Einige der Phishing-Kampagnen nutzen ein neues Phishing-Kit namens Cephas. Laut dem Cybersicherheitsunternehmen Barracuda verwendet Cephas eine hochentwickelte Verschleierungsmethode, die unsichtbare Zeichen in den Quellcode von Phishing-Seiten einfügt, welche für automatisierte Scanner schwer zu erkennen sind.

„Das Kit verschleiert seinen Code, indem es zufällige unsichtbare Zeichen im Quellcode erzeugt, die ihm helfen, Anti-Phishing-Scanner zu umgehen und zu verhindern, dass signaturbasierte YARA-Regeln die genauen Phishing-Methoden abgleichen“, schrieb in seiner Analyse vergangene Woche.

Werden Sie dort gesehen, wo es darauf ankommt. Schalten Sie Werbung in Cryptopolitan Research und erreichen Sie die besten Krypto-Investoren und -Entwickler.

|Square

Holen Sie sich die BTCC-App und beginnen Sie Ihre Krypto-Reise

Download on the App Store GEI IT ON Google Play

Starten Sie noch heute Scannen Sie, um Teil von mehr als 100 Millionen Nutzern zu werden

Exchange for a better future

Produkte
Services
Leitfaden
Über uns
Bedingungen & Vereinbarung
Kundenservice

Risikowarnung: Der Handel mit digitalen Vermögenswerten ist eine aufstrebende Branche mit vielversprechenden Aussichten, aber er ist auch mit großen Risiken verbunden, da es sich um einen neuen Markt handelt. Das Risiko ist beim Handel mit Hebelwirkung besonders hoch, da die Hebelwirkung die Gewinne vergrößert und gleichzeitig die Risiken erhöht. Bitte vergewissern Sie sich, dass Sie die Branche, die gehebelten Handelsmodelle und die Handelsregeln genau verstehen, bevor Sie eine Position eröffnen. Außerdem empfehlen wir Ihnen dringend, Ihre Risikotoleranz zu ermitteln und nur die Risiken einzugehen, die Sie bereit sind, einzugehen. Da jeder Handel mit Risiken verbunden ist, müssen Sie beim Einstieg in den Markt vorsichtig sein.

Die am längsten laufende Kryptowährungsbörse der Welt seit 2011 © 2011 - 2025 BTCC.com. All rights reserved

Haftungsausschluss: Die auf dieser Website veröffentlichten Artikel stammen aus öffentlichen Netzwerken und dienen ausschließlich der Übermittlung von Brancheninformationen. Sie stellen keine offizielle Position von BTCC dar. Die Urheberrechte verbleiben bei den jeweiligen Autoren. Sollten Sie Urheberrechtsverletzungen oder fragwürdige Inhalte feststellen, kontaktieren Sie uns bitte unter [email protected], damit wir dies gesetzeskonform behandeln können. BTCC übernimmt keine ausdrückliche oder stillschweigende Garantie für die Richtigkeit, Aktualität oder Vollständigkeit der wiedergegebenen Informationen und lehnt jede Haftung für direkte oder indirekte Schäden ab, die aus der Nutzung dieser Informationen entstehen. Alle Inhalte dienen lediglich als Referenz für Branchenrecherchen und stellen keine Anlage-, Rechts- oder Geschäftsempfehlung dar. BTCC übernimmt keine Haftung für Handlungen, die auf Grundlage dieser Informationen vorgenommen werden.