Bitcoin-Wallet-Falle: DarkComet-Trojaner attackiert Krypto-Nutzer

Wer seine Bitcoins verwalten will, läuft Gefahr, seine Daten zu verlieren. Cyberkriminelle verteilen derzeit den berüchtigten DarkComet-Spionage-Trojaner, getarnt als harmlose Bitcoin-Wallet-Software. Die perfide Masche: Krypto-Enthusiasten laden sich die Schadsoftware freiwillig herunter – in der Hoffnung auf ein neues Verwaltungstool für ihre digitalen Währungen.

Sicherheitsforscher warnen diese Woche vor einer Angriffswelle, die ein altes, aber gefährliches Werkzeug nutzt. DarkComet wurde zwar bereits 2012 eingestellt, erlebt aber durch neue Täter eine Renaissance. Die Zielgruppe ist klar definiert: Menschen, die in der Krypto-Szene aktiv sind und häufig neue Software ausprobieren. Und genau diese Experimentierfreude wird ihnen nun zum Verhängnis.

Das Herzstück der Attacke ist eine ausführbare Datei mit dem verheißungsvollen Namen “94k BTC wallet.exe”. Verpackt in ein RAR-Archiv landet sie bei potentiellen Opfern – eine bewährte Taktik, um E-Mail-Filter und Virenscanner zu überlisten. Denn komprimierte Archive werden von Schutzsystemen oft weniger kritisch beäugt als direkte Programmdateien.

Wer das vermeintliche Wallet-Programm startet, erlebt sein blaues Wunder. Statt Bitcoin-Funktionen aktiviert sich im Hintergrund eine mehrstufige Infektionsroutine. Die Schadsoftware wurde mit UPX (Ultimate Packer for Executables) gepackt – eine Verschleierungstechnik, die Analysten das Leben schwer macht. Nach dem Entpacken zeigt sich die wahre Natur: ein klassischer DarkComet-Trojaner, programmiert in Borland Delphi.

Passend zum Thema Cyberangriffe – viele Schadprogramme nutzen menschliches Fehlverhalten, nicht nur technische Lücken. Unser Gratis-Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Geräte und zeigt Schritt für Schritt, wie Sie Apps prüfen, automatische Backups einrichten, Berechtigungen kontrollieren und sichere Einstellungen für Banking, PayPal und Messenger wählen. So schützen Sie Kontakte, Passwörter und Zugangsdaten vor Datendieben. Gratis Android-Sicherheitsratgeber herunterladen

Besonders raffiniert ist die Persistenz-Strategie. Die Malware kopiert sich als “explorer.exe” in den versteckten Ordner AppDataRoamingMSDCSC und verankert sich in der Windows-Registry. Ergebnis: Bei jedem Systemstart aktiviert sich der Trojaner automatisch neu. Das Opfer hat keine Chance, ihn durch einen simplen Neustart loszuwerden.

Totale Überwachung: Was DarkComet alles kann

DarkComet ist kein gewöhnlicher Trojaner – er verleiht Angreifern nahezu Vollzugriff auf befallene Rechner. Tastaturüberwachung, Webcam-Spionage, Dateizugriff und Fernsteuerung des Desktop gehören zum Standard-Repertoire. Für Krypto-Nutzer ist besonders die Keylogger-Funktion fatal.

Jeder Tastendruck wird protokolliert und in einem lokalen Ordner namens “dclogs” gespeichert. Von dort wandern die Daten direkt zum Command-and-Control-Server der Kriminellen. Login-Daten für Krypto-Börsen, private Wallet-Schlüssel, Passwörter – alles landet in fremden Händen. Wer seine Bitcoin-Bestände schützen wollte, hat sie damit de facto zur Plünderung freigegeben.

Um dabei nicht aufzufallen, nutzt dieser DarkComet-Ableger Process Injection. Die Malware startet legitime Windows-Prozesse wie cmd.exe, conhost.exe oder notepad.exe und schleust ihren Code in diese ein. Im Task-Manager sieht alles aus wie normaler Systembetrieb. Nur tiefergehende Analysen offenbaren die Manipulation.

Technische Details bestätigen: Die Malware verwendet den Mutex “DC_MUTEX-ARULYYD”, um sicherzustellen, dass nur eine Instanz läuft. Die Kommunikation mit dem C2-Server erfolgt über kvejo991.ddns.net auf Port 1604 – dem Standard-Kanal für DarkComet.

Zombie-Software: Alte Waffen, neue Kriege

Dass ein 2008 entwickeltes und 2012 eingestelltes Tool heute noch Schaden anrichtet, zeigt eine unbequeme Wahrheit der Cybersicherheit. „Alte Malware stirbt nie – sie wird nur neu verpackt”, erklärt Dr. Zulfikar Ramzan, CTO von Point Wild und Leiter des Lat61 Threat Intelligence Teams. „DarkComets Rückkehr in einer gefälschten Bitcoin-Anwendung beweist, wie Cyberkriminelle klassische Trojaner recyceln, um moderne Hypes auszunutzen.”

Der Grund ist simpel: Der Quellcode von DarkComet kursiert in Untergrund-Foren. Jeder halbwegs versierte Kriminelle kann ihn für neue Kampagnen anpassen. Kein Entwicklerteam, das Updates liefern müsste. Keine Lizenzkosten. Und eine bewährte Funktionalität, die seit Jahren dokumentiert ist.

Die Wahl der Zielgruppe ist dabei alles andere als zufällig. Krypto-Enthusiasten sind per Definition technikaffin und experimentierfreudig. Sie suchen ständig nach neuen Tools für Trading, Mining oder Asset-Management – oft auch außerhalb offizieller Kanäle. Genau diese Risikobereitschaft macht sie zu idealen Opfern für Social-Engineering-Attacken.

Schutzmechanismen: Wie erkennt man den Befall?

Es gibt deutliche Warnsignale für eine RAT-Infektion. Bewegt sich der Mauszeiger plötzlich von selbst? Zeigt der Router ungewöhnlich hohen Datenverkehr an? Tauchen im Task-Manager unbekannte Prozesse auf? Wurde die Antivirensoftware ohne Ihr Zutun deaktiviert? All das sind Alarmzeichen.

Sicherheitsexperten raten zu strikter Disziplin: Wallet- und Trading-Software ausschließlich von offiziellen Websites und verifizierten Entwicklern herunterladen. Keine Ausnahmen. Application-Allowlisting-Richtlinien können in Organisationen zusätzlichen Schutz bieten. Und: Mitarbeiter müssen für solche Gefahren sensibilisiert werden.

Die Cybersecurity-Community überwacht mittlerweile die C2-Infrastruktur dieser Kampagne. Ziel ist es, das Ausmaß der Angriffe zu erfassen und weitere Opfer zu schützen. Doch am Ende bleibt die wichtigste Verteidigungslinie der gesunde Menschenverstand: Wer etwas herunterladen will, sollte zweimal hinschauen – gerade wenn 94.000 Bitcoin als Versprechen winken.

PS: Wenn Fremde per Keylogger und Spionage-Tools Zugang zu Ihren Daten bekommen, sollten Sie auch Ihre Kommunikation schützen. Das kostenlose Telegram-Startpaket liefert eine klare Schritt-für-Schritt-Anleitung, wie Sie Ihre Nummer verbergen, geheime Chats aktivieren, sichere Einstellungen nutzen und unerwünschtes Mitlesen verhindern. Ideal für alle, die sensible Informationen wie Wallet-Zugänge oder Passwörter nicht über ungesicherte Messenger teilen wollen. Telegram-Startpaket jetzt kostenlos anfordern