Cyberkriminelle nutzen eine neue Angriffsmethode, um Kryptowährungen zu stehlen. Über gefälschte Investmentfirmen auf LinkedIn und eine gehackte Chrome-Erweiterung bringen Hacker Opfer dazu, unwissentlich schädliche Software zu aktivieren. Die Technik wird von Cybersicherheitsexperten als ClickFix bezeichnet und weltweit zunehmend eingesetzt.
Laut dem Sicherheitsunternehmen Moonlock Lab geben sich Angreifer als Venture-Capital-Firmen mit Namen wie SolidBit, MegaBit und Lumax Capital aus. Über LinkedIn nehmen sie Kontakt zu Fachleuten auf und unterbreiten ihnen Angebote für Investitionen oder Kooperationen im Kryptobereich.
Nach einem ersten Gespräch erhalten die Opfer einen Link, der vermeintlich zu einem Zoom- oder Google-Meet-Meeting führt. Tatsächlich gelangen sie auf eine gefälschte Webseite mit einer falschen Sicherheitsüberprüfung, ähnlich einer Cloudflare-Verifikation.
Auf der Seite erscheint das bekannte Kästchen „Ich bin kein Roboter“. Wer darauf klickt, aktiviert unbemerkt den nächsten Schritt. Eine schädliche Anweisung wird automatisch in die Zwischenablage kopiert. Das Opfer erhält anschließend Anweisungen, das Terminal zu öffnen und den Code einzufügen, wodurch es die Malware selbst ausführt.
Das macht ClickFix so effektiv. Es wird keine Virendatei heruntergeladen, sodass herkömmliche Sicherheitssysteme nichts bemerken. Laut den Forschern ist die Infrastruktur hinter der Kampagne professionell aufgebaut. Wird eine gefälschte Firma enttarnt, wechseln die Täter umgehend zu einem neuen Namen.
Neben Social Engineering über LinkedIn nutzten Hacker eine gekaperte Chrome-Erweiterung namens QuickLens. Diese Erweiterung wechselte am 1. Februar den Besitzer. Zwei Wochen später erschien ein Update mit verstecktem schädlichem Code. Rund 7.000 Nutzer hatten die Erweiterung installiert.
Die modifizierte Version suchte aktiv nach Kryptowallet-Daten und Seed-Phrases. Eine Seed-Phrase ist ein Wiederherstellungscode, mit dem man vollständigen Zugang zu einer Kryptowallet erhält. Wer diesen besitzt, kann alle Kryptowährungen ohne Zustimmung des Eigentümers transferieren.
Zusätzlich sammelte die Malware Informationen aus Gmail, YouTube, gespeicherten Anmeldedaten und Zahlungsinformationen. Die Erweiterung wurde inzwischen aus dem Chrome Web Store entfernt.
Seit 2024 wird die Technik immer häufiger eingesetzt. Microsoft warnte im vergangenen Jahr, dass täglich Kampagnen beobachtet werden, die weltweit Tausende Geräte betreffen. Auch das Cybersicherheitsunternehmen Unit42 berichtete, dass ClickFix inzwischen gegen Regierungen, Energieunternehmen und den Einzelhandel eingesetzt wird.
Die jüngsten Angriffe zeigen, dass Cyberkriminelle zunehmend menschliches Verhalten statt technischer Schwachstellen ausnutzen. Indem sie Vertrauen durch LinkedIn-Profile oder scheinbar legitime Software erwecken, lassen Angreifer die Opfer selbst die schädliche Handlung ausführen.
Sicherheitsexperten raten zu besonderer Vorsicht bei unerwarteten Anlageangeboten, unbekannten Meeting-Links und plötzlichen Updates von Browser-Erweiterungen. Besonders Nutzer von Kryptowallets sind gefährdet.
Neue Malware-Kampagne ‚TrapDoor‘ bedroht Entwickler in der Krypto- und KI-Branche
Gerade die sogenannten Krypto-Bridges, die verschiedene Blockchains miteinander verbinden, erweisen sich als verwundbar.
Ein Großteil der kürzlich beim Blockchain-Projekt Verus gestohlenen Kryptowährungen wurde wiedergefunden.
ChatGPT, Gemini und DeepSeek erwarten, dass der XRP-Kurs kurzfristig bei rund 1,34 Dollar verharrt.
AI-Modelle prognostizieren einen XRP-Kurs von durchschnittlich 1,55 Dollar bis Ende Mai. Investoren haben seit Oktober 2025 4 Milliarden XRP gekauft. Der Markt wartet auf CLARITY Act.
Ein Anleger, der Anfang 2026 XRP für 1.000 Dollar kaufte, steht trotz einer spektakulären Rallye Anfang des Jahres immer noch im Minus.
