Cyberkriminelle nutzen LinkedIn für neue Krypto-Attacke

Cyberkriminelle nutzen eine neue Angriffsmethode, um Kryptowährungen zu stehlen. Über gefälschte Investmentfirmen auf LinkedIn und eine gehackte Chrome-Erweiterung bringen Hacker Opfer dazu, unwissentlich schädliche Software zu aktivieren. Die Technik wird von Cybersicherheitsexperten als ClickFix bezeichnet und weltweit zunehmend eingesetzt.

Gefälschte Venture-Capital-Firmen kontaktieren Fachleute über LinkedIn

Laut dem Sicherheitsunternehmen Moonlock Lab geben sich Angreifer als Venture-Capital-Firmen mit Namen wie SolidBit, MegaBit und Lumax Capital aus. Über LinkedIn nehmen sie Kontakt zu Fachleuten auf und unterbreiten ihnen Angebote für Investitionen oder Kooperationen im Kryptobereich.

Nach einem ersten Gespräch erhalten die Opfer einen Link, der vermeintlich zu einem Zoom- oder Google-Meet-Meeting führt. Tatsächlich gelangen sie auf eine gefälschte Webseite mit einer falschen Sicherheitsüberprüfung, ähnlich einer Cloudflare-Verifikation.

Opfer führt die schädliche Software selbst aus

Auf der Seite erscheint das bekannte Kästchen „Ich bin kein Roboter“. Wer darauf klickt, aktiviert unbemerkt den nächsten Schritt. Eine schädliche Anweisung wird automatisch in die Zwischenablage kopiert. Das Opfer erhält anschließend Anweisungen, das Terminal zu öffnen und den Code einzufügen, wodurch es die Malware selbst ausführt.

Das macht ClickFix so effektiv. Es wird keine Virendatei heruntergeladen, sodass herkömmliche Sicherheitssysteme nichts bemerken. Laut den Forschern ist die Infrastruktur hinter der Kampagne professionell aufgebaut. Wird eine gefälschte Firma enttarnt, wechseln die Täter umgehend zu einem neuen Namen.

Gehackte Chrome-Erweiterung zielt auf Seed-Phrases ab

Neben Social Engineering über LinkedIn nutzten Hacker eine gekaperte Chrome-Erweiterung namens QuickLens. Diese Erweiterung wechselte am 1. Februar den Besitzer. Zwei Wochen später erschien ein Update mit verstecktem schädlichem Code. Rund 7.000 Nutzer hatten die Erweiterung installiert.

Die modifizierte Version suchte aktiv nach Kryptowallet-Daten und Seed-Phrases. Eine Seed-Phrase ist ein Wiederherstellungscode, mit dem man vollständigen Zugang zu einer Kryptowallet erhält. Wer diesen besitzt, kann alle Kryptowährungen ohne Zustimmung des Eigentümers transferieren.

Zusätzlich sammelte die Malware Informationen aus Gmail, YouTube, gespeicherten Anmeldedaten und Zahlungsinformationen. Die Erweiterung wurde inzwischen aus dem Chrome Web Store entfernt.

ClickFix wird zu einer globalen Bedrohung

Seit 2024 wird die Technik immer häufiger eingesetzt. Microsoft warnte im vergangenen Jahr, dass täglich Kampagnen beobachtet werden, die weltweit Tausende Geräte betreffen. Auch das Cybersicherheitsunternehmen Unit42 berichtete, dass ClickFix inzwischen gegen Regierungen, Energieunternehmen und den Einzelhandel eingesetzt wird.

Die jüngsten Angriffe zeigen, dass Cyberkriminelle zunehmend menschliches Verhalten statt technischer Schwachstellen ausnutzen. Indem sie Vertrauen durch LinkedIn-Profile oder scheinbar legitime Software erwecken, lassen Angreifer die Opfer selbst die schädliche Handlung ausführen.

Sicherheitsexperten raten zu besonderer Vorsicht bei unerwarteten Anlageangeboten, unbekannten Meeting-Links und plötzlichen Updates von Browser-Erweiterungen. Besonders Nutzer von Kryptowallets sind gefährdet.

Schon deine 15 XRP als Willkommensbonus beansprucht?

Bitvavo in Zusammenarbeit mit Newsbit bietet dir aktuell 15 XRP als Geschenk. Die Aktion ist nur für kurze Zeit gültig.

Eröffne ein Konto und zahle mindestens 30€ ein, um den Bonus zu erhalten.

👉 Konto eröffnen und 15 XRP gratis erhalten

Über 1,5 Millionen Nutzer vertrauen bereits auf Bitvavo.

Sie werden weitergeleitet zu