Thought Leadership
Trotz gegenteiliger Behauptungen ist ein berüchtigter Krypto-Wallet-Drainer namens Inferno weiterhin aktiv – und gefährlicher denn je. Sicherheitsforscher von Check Point Research (CPR) deckten auf, dass die vermeintliche Abschaltung im Jahr 2023 lediglich ein Ablenkungsmanöver war.
In den letzten sechs Monaten erbeutete die Schadsoftware demnach Kryptowährungen im Wert von über 9 Millionen US-Dollar aus mehr als 30.000 digitalen Wallets.
Die Experten gehen davon aus, dass die angebliche Abschaltung lediglich ein Täuschungsmanöver war. Die Software sei nie wirklich vom Netz genommen worden – im Gegenteil: Die alten Smart Contracts sind nach wie vor in Gebrauch, während die Angreifer ihre Methoden weiterentwickeln, um Sicherheitsmaßnahmen gezielt zu umgehen.
Die technische Raffinesse hinter dem modernen Inferno macht eine Erkennung extrem schwierig. Die Forscher erklären: Die Adressen der Steuerungsserver werden nun verschlüsselt in der Blockchain abgelegt. Außerdem wird die Kommunikation mit diesen Servern über Proxy-Server abgewickelt, die von den Nutzern des Drainers betrieben werden.
Laut Check Point Research ist es dadurch „nahezu unmöglich, die Infrastruktur von Inferno zurückzuverfolgen“. Darüber hinaus kommen Smart Contracts zum Einsatz, die nur einmal verwendet werden, sowie eine regelmäßige Änderung der Blockchain-Adressen. Beide Maßnahmen helfen dabei, die integrierten Schutzmechanismen in Wallet-Anwendungen zu umgehen.
Mehrstufige Täuschung: Domains, Tokens, Weiterleitungen
Nicht nur auf technischer, sondern auch auf sozialer Ebene setzen die Täter auf gezielte Manipulation. Sie wechseln regelmäßig ihre Domainnamen, nutzen Zwischenschritte über Weiterleitungsserver und arbeiten mit Sicherheitstokens, die eine automatische Erkennung betrügerischer Websites erschweren.
Hinzu kommt eine Reihe neuer Phishing-Methoden, bei denen zum Beispiel vorgetäuscht wird, Token würden verschenkt, um Nutzer auf infizierte Seiten zu locken. Ein konkreter Fall aus dem Januar 2025 zeigt, wie diese Masche funktioniert: Nutzer einer Web3-Projektseite, die auf einen Discord-Supportlink klickten, wurden auf eine gefälschte Seite weitergeleitet. Diese imitierte den legitimen Dienst Collab.Land – tatsächlich wurde dort jedoch ein Krypto-Drainer installiert.
Die Forscher weisen darauf hin, dass es einige erkennbare Unterschiede zwischen echten und gefälschten Bots gibt. Besonders auffällig: Beim manipulierten Bot fehlt das Verifizierungssymbol, das seriöse Anwendungen auszeichnet.
Während der echte Collab.Land-Bot beim Klick auf den „Let’s go“-Button klare und transparente Hinweise für die nächsten Schritte gibt, erfolgt beim Fake-Bot lediglich ein Hinweis, dass Zugriff auf den Discord-Nutzernamen, das Profilbild und das Bannerbild gewährt wird. Anschließend wird der Nutzer auf eine betrügerische Seite weitergeleitet.
Wer dort eine schädliche Transaktion signiert, überweist entweder direkt Kryptowährungen an die Angreifer oder erteilt ihnen unbegrenzten Zugriff auf das eigene Wallet.
Gewohnheit als Risiko – selbst für Profis
Die Tarnung ist so überzeugend, dass selbst erfahrene Krypto-Nutzer nicht immer sicher sind. Die Sicherheitsforscher warnen eindringlich:
„Man muss beachten, dass der legitime Collab.Land-Dienst tatsächlich eine Signaturverifizierung des Wallets verlangt. Daher könnten selbst erfahrene Nutzer in der Kryptowelt unachtsam werden. Sie erwarten, dass der Dienst eine Signaturanfrage stellt, und klicken instinktiv auf ‚Genehmigen‘, ohne die Details genau zu prüfen – und tappen so in die Falle.“
Der Fall Inferno zeigt, wie flexibel und anpassungsfähig heutige Bedrohungen im Kryptobereich geworden sind. Neben technischer Verschleierung setzen die Täter gezielt auf menschliche Schwächen. Wer in dieser digitalen Umgebung sicher bleiben will, sollte sich nicht allein auf technische Schutzmechanismen verlassen – Aufmerksamkeit und Skepsis bleiben essenziell.
