Eine koordinierte Phishing- und Malware-Kampagne ist in der Kryptoindustrie erneut aufgetaucht. Angreifer nutzen Deepfake-Videoanrufe und kompromittierte Telegram-Konten, um Fachleute dazu zu bringen, schädliche Software auf ihren eigenen Geräten zu installieren.
Die Kampagne wurde öffentlich von BTC-Prague-Mitgründer Martin Kuchař offengelegt, der erklärte, dass sein Telegram-Konto kompromittiert und später auf die gleiche Weise zur gezielten Ansprache weiterer Personen missbraucht wurde.
„Derzeit richtet sich eine hochentwickelte Hacker-Kampagne gegen Bitcoin- und Krypto-Nutzer. Ich wurde persönlich über ein kompromittiertes Telegram-Konto betroffen“, schrieb Kuchař auf X.
Sicherheitsforscher und Branchenexperten haben die Operation mit nordkoreanisch ausgerichteten Bedrohungsakteuren in Verbindung gebracht – einer Gruppe, die seit mehreren Jahren Krypto-Entwickler, Börsenmitarbeiter und Führungskräfte ins Visier nimmt.
🚨Urgent Security Warning: Sophisticated Phishing Attack on Crypto Community‼️
— Martin Kuchař (@kucharmartin_) January 22, 2026
A high-level hacking campaign is currently targeting Bitcoin and crypto users. I have been personally affected via a compromised Telegram account.
The Attack Vector:
- Attackers initiate a Zoom or…
Wie der Angriff während Live-Videoanrufen abläuft
Laut Kuchař beginnt der Angriff mit einer Nachricht von einem bekannten Kontakt, dessen Telegram-Konto bereits übernommen wurde. Der Angreifer schlägt anschließend einen Zoom- oder Microsoft-Teams-Anruf vor.
Sobald der Anruf startet, erscheint der Angreifer im Video unter Verwendung eines KI-generierten Deepfakes, der dem ursprünglichen Kontoinhaber ähnelt. Der Angreifer bleibt stumm, behauptet Audio-Probleme und weist das Opfer an, ein Plugin oder eine Datei zu installieren, die das Problem angeblich beheben soll.
In Wirklichkeit liefert die Datei Malware aus, die vollständigen Systemzugriff ermöglicht. Die Opfer verlieren die Kontrolle über ihre Geräte, ihre Bitcoin-Bestände und ihre Telegram-Konten. Die Angreifer nutzen die neu kompromittierten Konten anschließend, um die nächsten Ziele zu kontaktieren.
„Diese Stille fungiert als Köder“, warnte Kuchař und forderte Nutzer auf, keine nicht verifizierten Zoom- oder Teams-Anrufe anzunehmen.
Malware ermöglicht vollständige Geräteübernahme und Wallet-Diebstahl
Sicherheitsforscher des Cybersicherheitsunternehmens Huntress haben in früheren Kampagnen nahezu identische Techniken beobachtet. In im vergangenen Jahr veröffentlichten Berichten dokumentierte Huntress inszenierte Zoom-Anrufe, bei denen bösartige AppleScript-Payloads als Audio-Reparaturen getarnt wurden.
Nach der Ausführung deaktiviert die Malware die Shell-Historie, prüft das Vorhandensein von Rosetta 2 auf Apple-Silicon-Geräten oder installiert es und fordert Benutzer wiederholt zur Eingabe von Systempasswörtern auf, um erhöhte Berechtigungen zu erlangen. Die Infektionskette installiert mehrere Payloads, darunter persistente Backdoors, Keylogger, Clipboard-Monitore und Krypto-Wallet-Stealer.
Kuchař erklärte, dass dieselbe Abfolge auch bei der Kompromittierung seines eigenen Kontos erfolgte, woraufhin Angreifer Personen aus seinem Telegram-Adressbuch kontaktierten.
„Sobald Zugriff erlangt ist, können Angreifer alle Telegram-Kontakte einsehen und das kompromittierte Konto nutzen, um das nächste Opfer zu kontaktieren“, schrieb er.
Nordkorea-nahe Akteure mit wiederholten Krypto-Diebstahlkampagnen verbunden
Huntress hat ähnliche Eindringversuche mit hoher Sicherheit einer nordkorea-nahen Advanced Persistent Threat zugeordnet, die als TA444 verfolgt wird und auch unter dem Namen BlueNoroff bekannt ist. Diese Gruppe operiert unter dem Dach der Lazarus Group.
Nordkorea-nahe Hacker haben mithilfe verwandter Techniken mehr als 300 Millionen US-Dollar gestohlen, wie aus Warnungen der MetaMask-Sicherheitsforscherin Taylor Monahan vom vergangenen Monat hervorgeht. Monahan sagte, dass Angreifer häufig frühere Chatverläufe studieren, um Vertrauen aufzubauen, bevor sie den Angriff starten.
Zu den häufigsten Zielen zählen Krypto-Entwickler, Börsenmitarbeiter und Führungskräfte. In einem dokumentierten Fall vom September letzten Jahres führte ein gezielter Angriff auf einen THORchain-Manager zu Verlusten von etwa 1,3 Millionen US-Dollar, nachdem eine MetaMask-Wallet ohne Systemabfragen oder Administratorfreigaben geleert wurde.
Experten warnen: Bilder und Videos sind kein Echtheitsbeweis mehr
Führungskräfte im Bereich der Branchensicherheit sagen, dass der Einsatz von Deepfake-Videos einen der letzten Vertrauensanker in der Fernkommunikation beseitigt hat.
„Kein einzelner Indikator ist für sich allein entscheidend; es ist die Kombination, die zählt“, sagte Shān Zhang, Chief Information Security Officer beim Blockchain-Sicherheitsunternehmen Slowmist.
Zhang erklärte, dass Deepfake-gestützte Köder häufig auf temporären Meeting-Konten, täuschend ähnlichen Zoom- oder Teams-Links und geskripteten Gesprächen basieren, die Opfer früh im Anruf zur Installation von Software drängen.
„Es gibt eine klare Wiederverwendung über Kampagnen hinweg. Wir sehen durchgehend das gezielte Ansprechen bestimmter Wallets und den Einsatz sehr ähnlicher Installationsskripte“, sagte David Liberman, Mitbegründer des dezentralen KI-Rechennetzwerks Gonka, in einer Stellungnahme.
Liberman warnte, dass visuelle Medien nicht länger als Identitätsnachweis dienen können.
„Bilder und Videos können nicht mehr als verlässlicher Beweis für Authentizität betrachtet werden“, sagte er und fügte hinzu, dass digitale Inhalte kryptografische Signaturen und Multi-Faktor-Autorisierung erfordern sollten.
Unmittelbare Sicherheitshinweise für Krypto-Fachkräfte
Kuchař forderte Krypto-Profis auf, alle Telegram-Nachrichten als nicht vertrauenswürdig zu behandeln – selbst solche von bekannten Kontakten.
„Informiert eure Kollegen und euer Netzwerk sofort. Nehmt an keinen nicht verifizierten Zoom- oder Teams-Anrufen teil“, schrieb er.
Er empfahl die Nutzung sicherer Alternativen wie Signal oder Jitsi für private Gespräche und riet bei browserbasierten Meetings zu Google Meet aufgrund stärkerer Sandbox-Kontrollen.
Die Angriffe spiegeln einen breiteren Wandel in den Taktiken der Cyberkriminalität wider, bei dem Social Engineering und künstliche Intelligenz zusammenlaufen. Für Krypto-Fachkräfte dient die Kampagne als weitere Erinnerung daran, dass Vertrautheit und visuelle Bestätigung keine Sicherheit mehr garantieren.
HODL Team
Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.
