Okta Threat Intelligence hat eine gefährliche Kryptoscam-Kampagne namens ShieldGuard aufgedeckt und ihre Infrastruktur zerschlagen. Die als Browser-Erweiterung beworbene Anwendung versprach Nutzern, ihre Krypto-Wallet vor Phishing und Betrug zu schützen – in Wirklichkeit war sie jedoch ein Trojaner, der gezielt Wallet-Adressen und sensible Daten von Binance, Coinbase, MetaMask, OpenSea, Phantom und Uniswap abgriff.
So funktionierte der Betrug
Die Angreifer warben mittels Multi-Level-Marketing für die Browser-Erweiterung und lockten Nutzer mit einem Krypto-Airdrop an – also dem Versprechen kostenloser Token für frühe Anwender. Nach der Installation offenbarte sich die wahre Natur der Extension: Sie erbeutete systematisch Wallet-Adressen, extrahierte vollständige HTML-Seiten von Krypto-Börsen mit Kontostands- sowie Transaktionsdaten und konnte sogar beliebigen Code auf dem betroffenen Gerät ausführen.
Die Malware kommunizierte mit einem Command-and-Control-Server (CnC) und war so programmiert, dass sie ChromeOS-Sicherheitsvorkehrungen umging – ein Zeichen professioneller Arbeit von erfahrenen Cyber-Kriminellen.
Das sollten Nutzer wissen und tun
Verbraucher sollten grundsätzlich skeptisch gegenüber Angeboten sein, die ‘zu schön sind, um wahr zu sein’. Dies gilt besonders für kostenlose Krypto-Airdrops.
Weitere konkrete Schutzmaßnahmen, die Oktas Sicherheitsforscher empfehlen:
- Browser-Erweiterungen minimal halten: Installieren Sie nur absolut notwendige Plugins und diese nur aus offiziellen Quellen, wie dem Chrome Web Store.
- Strenge Berechtigungsvergabe: Konfigurieren Sie Extensions so, dass diese nur bei einem Klick oder auf spezifischen Websites aktiv werden.
- Regelmäßige Audits: Prüfen Sie regelmäßig Ihre installierten Erweiterungen und deinstallieren Sie ungenutzte Anwendungen.
- Separater Browser für Krypto: Nutzen Sie ausschließlich einen isolierten, sauberen Browser für sensitive Transaktionen – idealerweise im Private/Incognito-Modus.
- Hardware-Wallets verwenden: Schützen Sie digitale Vermögenswerte durch reputable Offline-Wallets und nutzen Sie phishing-resistente Multi-Faktor-Authentifizierung.
Handlungsempfehlung für Okta-Kunden
Unternehmen sollten den Einsatz von Browser-Extensions durch Whitelisting-Strategien kontrollieren. Okta empfiehlt entweder die Bereitstellung von Managed Chrome mit genehmigter Erweiterungs-Liste oder den Einsatz von Advanced Posture Checks im Rahmen von Device Assurance Policies, um nur autorisierte Browser-Erweiterungen beim Zugriff auf sensible Unternehmens-Ressourcen zuzulassen.