Im Zentrum der Kampagne steht nach Angaben von Check Point eine Phishing-Seite auf WordPress-Basis. Dort bieten die Täter angebliche „Werkzeuge“ wie Decryptor-Programme an, die Nutzern Vorteile beim Kryptohandel verschaffen sollen. Die beworbenen Downloads verbergen jedoch Schadsoftware.

Die eigentliche Nutzlast ist ein Clipboard-Hijacker in Varianten für Windows und macOS. Beide Versionen sind darauf ausgelegt, Kryptowährung zu stehlen, indem sie wiederholt Wallet-Adressen aus der Zwischenablage abgreifen und zugleich für Persistenz auf dem kompromittierten Gerät sorgen. Zu den laut Check Point anvisierten Kryptowährungen und Plattformen zählen unter anderem Bitcoin, Ethereum, Monero, Binance Chain und Solana.

Verbreitet wird die Kampagne nicht nur über die Phishing-Seite. Die Angreifer legten auch GitHub-Repositories und SourceForge-Projekte an und flankierten diese mit gefälschten Konten, die auf den jeweiligen Plattformen positives Feedback hinterließen. Hinzu kommt ein eigener YouTube-Kanal, der laut Check Point mit KI-generierten Sprechern, „verdächtigen Aufrufspitzen und sehr positiven, wahrscheinlich koordinierten Kommentaren“ arbeitet. All das soll den Eindruck von Popularität und Vertrauenswürdigkeit erzeugen.

Auch VirusTotal wurde in die Vertrauensinszenierung eingebunden. Einige Proben der Kampagne erhielten dort harmlose Bewertungen und Kommentare, die sie als „sicher“ darstellten. In Verbindung mit der ohnehin niedrigen Erkennungsrate entstehe so ein irreführender Sicherheitseindruck, der sowohl Endnutzer als auch reputationsbasierte Erkennungssysteme beeinflussen könne, schreibt Check Point.

Besonders weit ging die Kampagne nach Darstellung der Forscher bei der Nutzung legitimer Nachrichten-Websites. Dort erschienen gefälschte Meldungen über die Veröffentlichung des auf der Phishing-Seite beworbenen Decryptors, die dessen angebliche Fähigkeiten herausstellten und zurück auf die Phishing-Seite verlinkten. Check Point zufolge ist unklar, ob die Täter diese Inhalte über bezahlte Anzeigen veröffentlichten, die von den Medien nach einem Hinweis auf ihre schädliche Natur entfernt wurden, oder ob es einen bösartigen Dienst beziehungsweise kompromittierte Nachrichtenportale gibt, die eine solche betrügerische Promotion auf legitimen Websites anbieten.

Eli Smadja, Group Manager, Products R&D bei Check Point Software, bezeichnete den Aufwand gegenüber Dark Reading als ungewöhnlich. Es sei nicht üblich, dass Kriminelle für diese Art Malware eine so breite Palette an Online-Reputationsquellen nutzen, um Vertrauen und Glaubwürdigkeit aufzubauen. Das Besondere sei die Kombination mehrerer vertrauenswürdiger Plattformen, einschließlich der Manipulation von VirusTotal, das üblicherweise von Sicherheitsforschern genutzt werde, um Erkennungen als Fehlalarme erscheinen zu lassen und ein falsches Gefühl von Legitimität zu verstärken.

Check Point wertet die Methode als Verschiebung im Vorgehen der Angreifer. Aus Sicht der Forscher zeigt die Kampagne, wie Bedrohungsakteure Stimmungen und Reputation auf Plattformen wie VirusTotal gezielt formen können. Zwar richte sich die Aktion nicht primär gegen große Unternehmen, sie mache aber deutlich, dass Angreifer nicht mehr nur auf klassische Wege der Malware-Verbreitung angewiesen sind.

Smadja erklärte gegenüber Dark Reading zudem, dass Endpunktschutzlösungen helfen können, den schädlichen Code zu blockieren, weil die ihn bewerbenden Websites nicht von sich aus zwangsläufig schädlich seien. Zur zusätzlichen Absicherung könnten Verteidiger in EDR-Programmen nach Clipboard-Hijacking-Verhalten suchen, insbesondere nach Zwischenablage-Überwachern, die mit Mustern von Kryptowallets interagieren.