Was ist Wallet Drainer-Malware und wie funktioniert sie?

Definition und Kernmechanismus

1. Wallet-Drainer-Malware ist eine spezielle Klasse von Crimeware, die ausschließlich für den Angriff auf Kryptowährungs-Wallet-Schnittstellen, private Schlüsseleingaben und Sitzungstoken in Webbrowsern und Desktop-Anwendungen entwickelt wurde.

2. Es funktioniert, indem es bösartiges JavaScript in kompromittierte Websites oder Browsererweiterungen einschleust und so das Abfangen von Inhalten der Zwischenablage in Echtzeit bei Kopier- und Einfügevorgängen mit Wallet-Adressen ermöglicht.

3. Die Malware überwacht aktive Browser-Registerkarten auf bekannte Wallet-Domänenmuster – wie etwa metamask.io, phantom.app oder trustwallet.com – und löst die Ausführung der Nutzlast nur dann aus, wenn diese Domänen erkannt werden.

4. Sobald es aktiviert ist, überlagert es gefälschte Transaktionsbestätigungsmodalitäten, die legitime Wallet-Benutzeroberflächen nachahmen, und verleitet Benutzer dazu, Überweisungen an von Angreifern kontrollierte Adressen zu genehmigen, ohne dass sichtbare Anzeichen einer Manipulation vorliegen.

5. Im Gegensatz zu generischen Trojanern bleiben Wallet-Drainer nicht auf dem Hostsystem bestehen; Sie werden vollständig im Speicher ausgeführt und verschwinden beim Schließen des Browsers, wobei sie nur minimale forensische Spuren hinterlassen.

Infektionsvektoren in Krypto-Ökosystemen

1. Kompromittierte NPM-Pakete dienen häufig als Bereitstellungsmechanismen – Entwickler installieren unwissentlich bösartige Abhängigkeiten, die sich in Build-Prozesse einklinken und Drainer-Skripte in Produktions-Frontend-Bundles einschleusen.

2. Gefälschte Wallet-Browsererweiterungen, die über inoffizielle Chrome Web Store-Spiegel oder Telegram-Kanäle verbreitet werden, enthalten verschleierten Code, der erst aktiviert wird, nachdem MetaMask-Injection in Webseiten erkannt wurde.

3. Phishing-Sites, die sich als DEX-Schnittstellen (Decentralized Exchange) ausgeben – wie gefälschte Uniswap- oder PancakeSwap-Landingpages – laden die Drainer-Logik, bevor sie funktionale UI-Elemente darstellen.

4. Schädliche GitHub-Repositories mit der Bezeichnung „Smart Contract Audit Tools“ oder „Gas Optimizer Utilities“ fordern Benutzer dazu auf, Wallets zur „Analyse“ anzuschließen und dann sofort unbefugte Übertragungen einzuleiten.

5. Drive-by-Downloads treten auf, wenn Benutzer gehackte Krypto-Nachrichtenportale oder Forenthreads besuchen, in denen eingeschleuste Iframes Remote-Drainer-Payloads von Bulletproof-Hosting-Anbietern laden.

Technisches Verhalten während der Ausführung

1. Die Malware kapert den API-Aufruf ethereum.request() , fängt alle Transaktionsanfragen ab, bevor sie die Wallet-Erweiterung des Benutzers erreichen, und ersetzt Zieladressen durch vom Angreifer kontrollierte Adressen.

2. Es ändert das DOM, um ursprüngliche Wallet-Popups zu unterdrücken, indem deren Anzeigeeigenschaft auf „Keine“ gesetzt wird, während gleichzeitig geklonte UI-Elemente gerendert werden, die identisch aussehen, Genehmigungen aber an andere Stellen weiterleiten.

3. Die Überwachung der Zwischenablage wird über document.addEventListener('copy', ...) implementiert, wobei jede kopierte Zeichenfolge erfasst und Ethereum- oder Solana-Adressen in Echtzeit durch Äquivalente im Besitz des Angreifers ersetzt werden.

4. Der Diebstahl von Sitzungstoken zielt auf Einträge im Browser-lokalen Speicher ab, die den Wallet-Verbindungsstatus enthalten, und ermöglicht es Angreifern, authentifizierte Sitzungen über mehrere dApps hinweg ohne erneute Genehmigung wiederzuverwenden.

5. Einige Varianten stellen WebSocket-Verbindungen zu Command-and-Control-Servern bereit, die auf Tor-versteckten Diensten gehostet werden, und erhalten während der Sitzung dynamische Adresslisten und Konfigurationsaktualisierungen.

Defensive Gegenmaßnahmen

1. Installieren Sie niemals Browsererweiterungen außerhalb offizieller Stores – überprüfen Sie die Namen der Herausgeber, die Anzahl der Bewertungen und die Aktualisierungshäufigkeit, bevor Sie Berechtigungen wie „Websitedaten lesen und ändern“ erteilen.

2. Deaktivieren Sie die Auto-Connect-Funktionen in Wallet-Erweiterungen und genehmigen Sie jede dApp-Verbindung manuell, anstatt dauerhaften Zugriff über Domänen hinweg zuzulassen.

3. Verwenden Sie Hardware-Wallets mit bildschirmbasierter Transaktionsüberprüfung – Malware kann nicht verändern, was physisch auf dem Display des Geräts angezeigt wird.

4. Überwachen Sie ausgehende Transaktionen mit Blockchain-Explorern wie Etherscan oder Solscan unmittelbar nach der Unterzeichnung und überprüfen Sie vor der Blockbestätigung sowohl die Empfängeradresse als auch den Wert.

5. Nutzen Sie Browser-Sandboxing-Tools wie Firefox-Multi-Account-Container, um Wallet-Interaktionen von allgemeinen Surfaktivitäten zu isolieren.

Häufig gestellte Fragen

F: Kann sich Wallet-Drainer-Malware auf mobile Geldbörsen auswirken? Ja. Es wurde beobachtet, dass Android-APKs, die sich als Wallet-Updater oder Blockchain-Explorer ausgeben, Overlay-Berechtigungen installieren, um Transaktionsbestätigungen auf Geräten mit veralteten Betriebssystemversionen abzufangen.

F: Verhindert die Verwendung eines VPN Wallet-Drainer-Angriffe? Nein. Wallet-Entleerer arbeiten auf der Anwendungsebene innerhalb der Browser- oder Erweiterungsumgebung. Die von VPNs bereitgestellte Verschlüsselung auf Netzwerkebene beeinträchtigt nicht die DOM-Manipulation oder Clipboard-Hooks.

F: Sind Open-Source-Wallet-Projekte immun gegen die Drainer-Integration? Nein. Später stellte sich heraus, dass mehrere geprüfte GitHub-Repositorys kompromittierte CI/CD-Pipelines enthielten, die bei automatisierten Builds Drainer-Logik einfügten, ohne die Sichtbarkeit des Quellcodes zu verändern.

F: Kann Antivirensoftware Wallet-Drainer-Skripte erkennen? Selten. Die meisten Drainer vermeiden eine signaturbasierte Erkennung, indem sie polymorphe Verschleierung, Domänengenerierungsalgorithmen und Zero-Day-Ausnutzungstechniken verwenden, die heuristische Analyse-Engines umgehen.