ClearFake-Malware: Angreifer nutzen Blockchain für unangreifbare Befehle

Die Angreifer verstecken ihre Steuerungsbefehle jetzt in Smart Contracts auf der Binance Smart Chain – und machen sich damit nahezu unangreifbar.

Angriff aus der Blockchain

Die Analyse des Sicherheitsunternehmens Trend Micro vom 28. Mai 2026 zeigt: Die Täter setzen auf eine Methode namens „EtherHiding“. Statt herkömmlicher Kommando-Server, die von Behörden leicht abgeschaltet werden können, nutzen sie das Testnetz der Binance Smart Chain (BSC). Die Schadensbefehle liegen direkt in Smart Contracts – verteilt auf tausende dezentrale Knoten. Löschen oder blockieren? Fehlanzeige.

Während Cyberkriminelle immer raffiniertere Methoden wie die Blockchain-Nutzung entwickeln, bleibt der Schutz des eigenen Rechners die wichtigste Verteidigungslinie. Dieses kostenlose Anti-Virus-Paket hilft Ihnen dabei, Spionage-Programme und Viren effektiv zu blockieren. Jetzt kostenlosen Experten-Report herunterladen

Die Forscher identifizierten vier verschiedene Smart Contracts (A bis D), die von einer einzigen Wallet gesteuert werden. Jeder übernimmt eine spezifische Aufgabe:

• Contract A (Dispatcher): Steuert die erste Infektionsphase
• Contract B (Windows ClickFix): Kümmert sich um die Social-Engineering-Attacke für Windows-Nutzer
• Contract C (macOS Payload): Liefert Schadcode für Apple-Rechner
• Contract D (Tracker): Verfolgt IP-Adressen der Opfer per Geodaten-API

Die Infrastruktur ist seit mindestens Mai 2025 aktiv. Ein Beleg für die erschreckende Langlebigkeit blockchain-basierter Angriffe.

Die Falle: Falsches reCAPTCHA

Der Infektionsweg beginnt auf kompromittierten Websites – häufig WordPress-Seiten. Auch Nutzer in der Schweiz waren zuletzt betroffen. Besucht ein Opfer die präparierte Seite, erscheint eine täuschend echte reCAPTCHA-Abfrage. Der sogenannte „ClickFix“-Trick.

Angriffe wie der „ClickFix“-Trick zeigen, wie gezielt Hacker psychologische Manipulation nutzen, um Schadsoftware zu verbreiten. Erfahren Sie in diesem Gratis-Leitfaden, wie Sie Phishing-Angriffe und Social Engineering rechtzeitig entlarven und Ihr Unternehmen schützen. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern

Bei Windows-Rechnern nutzt die Malware den WebClient-Dienst, um eine schädliche DLL zu laden. Dateien wie pythonw.exe und helper.py führen dann die eigentliche Schadsoftware aus. Auf dem Mac kommen curl-basierte Skripte zum Einsatz.

Die Angreifer setzen zwei Haupttypen von Datendieben ein:

• SectopRAT: Ein Trojaner für Fernzugriff, programmiert in .NET
• ACRStealer: Ein Hochleistungs-Datendieb in C++

Beide stehlen Zugangsdaten und Finanzinformationen vom infizierten Rechner.

So schützen Sie sich

Die Blockchain-Taktik macht klassische Netzwerkabwehr schwer. Doch es gibt einen Schwachpunkt: Die Malware nutzt öffentliche RPC-Knoten (Remote Procedure Call) zur Kommunikation. Konkret wurde der Knoten bsc-testnet-rpc.publicnode.com identifiziert.

Sicherheitsexperten empfehlen:

• JSON-RPC-Verkehr zu diesem Knoten blockieren
• WebClient-Dienst deaktivieren, wo nicht benötigt
• Zwischenablage-Zugriff einschränken
• Verhaltensanalyse-Tools einsetzen, die ungewöhnliche Ausführungsmuster erkennen

Die ClearFake-Kampagne fällt in eine phase erhöhter Risiken im digitalen Raum. Allein im April 2026 wurden über 650 Millionen Euro aus verschiedenen Protokollen abgezogen. Die Sicherheitsbranche warnt: Während Code-Lücken weiterhin ein Problem sind, bleiben Social Engineering und kompromittierte Schlüssel die Hauptwege für massive digitale Diebstähle.

de | wissenschaft | 69438013 |