Okta Threat Intelligence hat eine gefährliche Kryptoscam-Kampagne namens „ShieldGuard“ aufgedeckt und ihre Infrastruktur zerschlagen. Die als Browser-Erweiterung beworbene Anwendung versprach Nutzern, ihre Krypto-Wallet vor Phishing und Betrug zu schützen – in Wirklichkeit war sie jedoch ein Trojaner, der gezielt Wallet-Adressen und sensible Daten von Binance, Coinbase, Metamask, Opensea, Phantom und Uniswap abgriff. Sogar Nutzer von Google Services sind betroffen gewesen.
So funktionierte der Kryptoscam-Betrug
Die Angreifer warben mittels Multi-Level-Marketing für die Browser-Erweiterung und lockten Nutzer mit einem Krypto-Airdrop an – also dem Versprechen kostenloser Token für frühe Anwender. Nach der Installation offenbarte sich die wahre Natur der Extension: Sie erbeutete systematisch Wallet-Adressen, extrahierte vollständige HTML-Seiten von Krypto-Börsen mit Kontostands- sowie Transaktionsdaten und konnte sogar beliebigen Code auf dem betroffenen Gerät ausführen.
Die Malware kommunizierte mit einem Command-and-Control-Server (CnC) und war so programmiert, dass sie Chrome-OS-Sicherheitsvorkehrungen umging – ein Zeichen professioneller Arbeit von erfahrenen Cyber-Kriminellen.
Das sollten Nutzer wissen und tun
Verbraucher sollten grundsätzlich skeptisch gegenüber Angeboten sein, die ‘zu schön sind, um wahr zu sein’. Dies gilt besonders für kostenlose Krypto-Airdrops.
Weitere konkrete Schutzmaßnahmen, die Oktas Sicherheitsforscher empfehlen:
- Browser-Erweiterungen minimal halten: Installieren Sie nur absolut notwendige Plugins und diese nur aus offiziellen Quellen, wie dem Chrome-Web-Store.
- Strenge Berechtigungsvergabe: Konfigurieren Sie Extensions so, dass diese nur bei einem Klick oder auf spezifischen Websites aktiv werden.
- Regelmäßige Audits: Prüfen Sie regelmäßig Ihre installierten Erweiterungen und deinstallieren Sie ungenutzte Anwendungen.
- Separater Browser für Krypto: Nutzen Sie ausschließlich einen isolierten, sauberen Browser für sensitive Transaktionen – idealerweise im Private/Incognito-Modus.
- Hardware-Wallets verwenden: Schützen Sie digitale Vermögenswerte durch reputable Offline-Wallets und nutzen Sie phishing-resistente Multi-Faktor-Authentifizierung.
Handlungsempfehlung für Okta-Kunden
Unternehmen sollten den Einsatz von Browser-Extensions durch Whitelisting-Strategien kontrollieren. Okta empfiehlt entweder die Bereitstellung von Managed-Chrome mit genehmigter Erweiterungs-Liste oder den Einsatz von Advanced-Posture-Checks im Rahmen von Device-Assurance-Policies, um nur autorisierte Browser-Erweiterungen beim Zugriff auf sensible Unternehmens-Ressourcen zuzulassen.
Info: Weitere Informationen und Screenshots zur Sicherheitsforschung rund um Shieldguard finden sich im Blog-Beitrag von Okta: Disrupting ShieldGuard: a security extension primed to drain crypto wallets
#Okta
