Webrat-Malware: Neue Angriffswelle bedroht Telegram und Krypto-Wallets

Eine neue, hochgefährliche Malware-Kampagne namens Webrat greift gezielt Telegram-Konten, Kryptowährungs-Wallets und sensible persönliche Daten an. Sicherheitsforscher warnen vor einer Welle von Angriffen, die sich als seriöse Software-Exploits auf GitHub tarnt und gezielt IT-Sicherheitsexperten ins Visier nimmt.

Vom Spieler-Trick zur Profi-Falle

Die Taktik der Angreifer hat sich deutlich verschärft. Während Webrat früher vor allem Gamer mit gefälschten Cheat-Codes köderte, setzen die Kriminellen nun auf einen raffinierteren Köder: gefälschte Proof-of-Concept-Exploits (PoC) für kürzlich bekanntgewordene Sicherheitslücken. Auf der Entwicklerplattform GitHub tauchen vermehrt Repositorys mit schädlichem Code auf, der als Testwerkzeug für kritische Schwachstellen wie CVE-2025-10294 (OwnID WordPress-Plugin) oder CVE-2025-59295 (Internet Explorer) getarnt ist.

Wenn Angreifer Ihre Telegram‑Sitzung klonen, nützt auch Zwei‑Faktor‑Authentifizierung kaum etwas. Der kostenlose PDF‑Report zeigt Schritt für Schritt, wie Sie alte Sitzungen beenden, geheime Chats aktivieren und die wichtigsten Telegram‑Einstellungen so anpassen, dass Session‑Hijacking und Wallet‑Diebstahl deutlich erschwert werden. Praktische Anleitungen für Smartphone, Tablet und Desktop sowie eine Checkliste für Entwickler und Sicherheitsprofis, die sensible Zugänge schützen möchten. Telegram-Sicherheits-Guide jetzt kostenlos herunterladen

Der perfekte digitale Identitätsdiebstahl

Einmal ausgeführt, agiert Webrat als mächtiger Remote Access Trojaner (RAT). Sein Hauptziel: Die Sitzungsdaten populärer Kommunikationsplattformen zu stehlen, mit Telegram an erster Stelle.

Der Clou: Statt nach Passwörtern zu fischen, stiehlt die Malware die eigentlichen Sitzungsdateien – etwa den tdata-Ordner der Telegram Desktop-App. So umgehen die Angreifer die Zwei-Faktor-Authentifizierung (2FA) komplett. Sie klonen die aktive Sitzung des Opfers auf ihren eigenen Rechner und erhalten so stillen Zugriff auf private Chats, Kanäle und Kontakte, ohne eine Login-Warnung auszulösen.

Doch damit nicht genug. Webrat ist darauf programmiert:
* Krypto-Wallets zu leeren, indem sie nach privaten Schlüsseln und Seed-Phrasen sucht.
* Discord- und Steam-Konten zu übernehmen, um wertvolle Gaming-Inventare und Community-Zugänge zu stehlen.
* Opfer auszuspionieren via Keylogger, Bildschirmaufnahmen und sogar Zugriff auf Webcam und Mikrofon.

Malware-as-a-Service bedroht die Open-Source-Welt

Die Entwicklung von Webrat markiert eine gefährliche Eskalation. Die Kampagne, die seit September 2025 an Fahrt aufnahm, zielt nicht mehr auf die „low-hanging fruits“ (Gamer), sondern auf hochwertige Ziele: Sicherheitsprofis und Entwickler.

Hinter der Kampagne steht vermutlich ein „Malware-as-a-Service“-Ökosystem (MaaS). Dieses Geschäftsmodell ermöglicht auch weniger versierten Cyberkriminellen, die Malware und Infrastruktur zu mieten und so die Angriffe massiv zu skalieren. Bereits im Juli 2025 wurde die Verbreitung von Webrat mit der Gruppe „NyashTeam“ in Verbindung gebracht, die die Schadsoftware über Telegram-Bots für nur vier US-Dollar pro Monat vermietete.

Ein weiterer Täuschungsaspekt: Die Angreifer setzen auf KI-generierte Inhalte. Die ReadMe-Dateien und Code-Kommentare in den gefälschten GitHub-Repositorys wirken oft professionell und seriös – wahrscheinlich von großen Sprachmodellen (LLMs) verfasst, um potenziellen Opfern ein falsches Sicherheitsgefühl zu vermitteln.

Warum Session-Hijacking so gefährlich ist

Der Aufstieg von Webrat unterstreicht eine kritische Schwachstelle moderner Authentifizierung: die Abhängigkeit von Sitzungstokens. Während 2FA heute Standard ist, bietet es kaum Schutz vor Malware, die das „Cookie“ oder Token stiehlt, das nach dem erfolgreichen Login erstellt wird.

„Das ist nicht das erste Mal, dass Bedrohungsakteure Sicherheitsforscher ködern wollen“, warnen Experten. Ähnliche Kampagnen nutzten 2024 bereits gefälschte Exploits für die „RegreSSHion“-Schwachstelle. Doch das Ausmaß von Webrat und der Fokus auf Telegram-Daten deuten auf einen wachsenden Markt für gestohlene Social-Media-Konten hin. Diese werden oft für weitere Social-Engineering-Angriffe oder die Verbreitung von Krypto-Betrug genutzt.

Für das Telegram-Ökosystem ist das besonders besorgniserregend. Da die Plattform immer mehr Finanzfunktionen und „Toncoin“-Wallet-Integrationen anbietet, ist ein kompromittiertes Konto nicht mehr nur ein Datenschutzverstoß – es ist ein direktes finanzielles Risiko.

So schützen Sie sich vor der Gefahr

Experten prognostizieren, dass diese Verbreitungsmethode – das Vergiften von Open-Source-Repositorys – 2026 weiter zunehmen wird. Mit der zunehmenden Verbreitung automatisch generierten Codes wird die Unterscheidung zwischen legitimen und bösartigen Quellen immer schwieriger.

Gegen Webrat und ähnliche Bedrohungen helfen diese Maßnahmen:
1. Isolieren Sie Ihre Tests: Führen Sie Proof-of-Concept-Code oder ungeprüfte Skripte niemals auf Ihrem Hauptrechner aus. Nutzen Sie eine virtuelle Maschine (VM) oder eine Sandbox-Umgebung, die vollständig von Ihren persönlichen Daten und Konten isoliert ist.
2. Prüfen Sie die Quelle: Seien Sie skeptisch gegenüber GitHub-Repositorys unbekannter Autoren, besonders wenn sie erst kürzlich erstellt wurden und „Zero-Day“-Exploits versprechen.
3. Auditieren Sie den Code: Lesen Sie als Entwickler den Code, bevor Sie ihn ausführen. Webrat versteckt seine Nutzlast oft in verschleierten Skripten oder sekundären Downloads.
4. Schützen Sie Ihre Sitzungen: Beenden Sie regelmäßig alte Sitzungen in Ihren Telegram-Einstellungen (Einstellungen > Geräte > Alle anderen Sitzungen beenden) und stellen Sie sicher, dass Ihre Endpoint-Security-Software auf dem neuesten Stand ist.

Die Annahme, dass „Code auf GitHub sicher ist“, hat offiziell ausgedient. Die Grenzen zwischen Softwareentwicklung und Cyberkrieg verschwimmen zunehmend.

PS: Übrigens: In wenigen Minuten können Sie Ihre Telegram-Sicherheit deutlich verbessern. Das kostenlose Telegram-Startpaket erklärt den 5‑Minuten-Trick zum sicheren Abmelden fremder Sitzungen, wie Sie Ihre Nummer verbergen und welche Einstellungen Wallet‑Zugriffe verhindern helfen. Der leicht verständliche PDF‑Leitfaden liefert konkrete Schritte, die jede:r sofort umsetzen kann. Telegram-Startpaket jetzt gratis anfordern