Drainer Reloaded: Krypto-Drainer hat über 9 Mio. $ erbeutet

Drainer Reloaded: Der berüchtigte Krypto-Drainer hat über 9 Mio. $ erbeutet

Check Point berichtet, dass der Drainer-as-a-Service wieder aktiv ist. Über verseuchte Discord-Einladungslinks werden Opfer verleitet, ihre Krypto-Geldbörsen mit Smart Contracts zu verbinden.

Der inaktiv geglaubte Inferno Drainer, einer der berüchtigtsten und gefährlichsten Krypto-Drainer, ist wieder aktiv und auf Beutezug durch Krypto-Wallets. Er hat innerhalb kürzester Zeit bereits Schäden in Höhe von über neun Millionen US-Dollar angerichtet .Das haben die Sicherheitsforscher von Check Point Research (CPR) berichtet, der IT-Forensikabteilung von Check Point Software .

Eine neue Ära des Krypto-Diebstahls

Selbst in Zeiten, in denen Cyber-Kriminalität sich in beispielloser Geschwindigkeit und Raffinesse entwickelt, gibt es nur wenige Bedrohungen, die so hartnäckig und profitabel sind wie der Inferno Drainer. Obwohl er angeblich 2023 eingestellt wurde, hat CPR sein subtiles, aber mächtiges Wiederauftauchen bestätigt. Dank technischer Verbesserungen konnte er in den letzten sechs Monaten über neun Millionen US-Dollar aus mehr als 30 000 Wallets stehlen.

Inferno Drainer ist keine gewöhnliche Malware. Es handelt sich um einen Drainer-as-a-Service (DaaS): ein bösartiges Geschäftsmodell, bei dem Angriffskits vermietet werden – inklusive Phishing-Infrastruktur, benutzerdefinierten Skripten und Echtzeit-Support. Die neue Version weist einen technischen Reifegrad auf, der im Bereich des Krypto-Betrugs selten zu finden ist.

Was ist neu bei Drainer im Jahr 2025?

• On-Chain-verschlüsselte Command-and-Control-Konfiguration (C&C), die auf der Binance Smart Chain gespeichert ist.
• Einmalige Smart Contracts, die sich nach einer einzigen Transaktion selbst zerstören und so Erkennung und Blacklisting umgehen.
• Sichere Proxys und OAuth2-Tricks, um Browser-, Wallet- und Phishing-Detektoren zu meiden.
• Mehrschichtige AES-Verschlüsselung und starke Verschleierung, um bösartige Logikabfolgen vor Sicherheitsforschern zu verbergen.

So funktioniert der Angriff

Angreifer kapern Discord-Einladungslinks oder geben sich als beliebte Bots wie Collab.Land aus und locken Benutzer unter falschen Vorwänden dazu, ihre Krypto-Wallets zu verbinden. Die gefälschte Oberfläche ahmt echte Verifizierungsabläufe nach – aber sobald ein Benutzer eine Transaktion unterzeichnet, sind seine Vermögenswerte verschwunden.

Die meisten Opfer werden dazu verleitet, bösartige Smart Contracts zu genehmigen. Einige werden über Permit2-Exploits angegriffen, die den Zugriff auf Token ohne separate Genehmigungstransaktion gewähren. Andere senden unwissentlich Token an vorab eingerichtete Smart-Contract-Adressen, sodass keine Zeit bleibt, diese in der Wallet zu markieren.

„Diese Kampagne zeigt, wie weit die Cyber-Kriminalität bereits industrialisiert ist“, so Eli Smadja, Group Manager bei Check Point Software Technologies: „Inferno Drainer stiehlt nicht nur Krypto-Währungen, sondern skaliert Betrug wie ein Start-up, mit Partnern, Infrastruktur und ständigen Upgrades. Sicherheitsverantwortliche und Krypto-Enthusiasten müssen dringend erkennen, wie fortschrittlich und hartnäckig diese Bedrohungen geworden sind.”

Bisher angerichteter Schaden

• Über 30 000 Wallets in mehr als 30 Blockchains wurden leergeräumt.
• Einzelne Opfer haben bis zu 761 000 US-Dollar in einer einzigen Transaktion verloren.
• Die historischen Diebstähle von Inferno Drainer könnten insgesamt 250 Millionen US-Dollar übersteigen.

So schützt man sich vor Drainer

• URLs immer prüfen: Offizielle Projektseiten sollte man als Lesezeichen speichern und nicht auf Links aus Discord oder sozialen Medien klicken.
• Nutzer sollten Burner-Wallets verwenden, wenn sie neue Projekte oder Airdrops aufrufen.
• Zudem sollten Besitzer von Krypto-Wallets bei der Verwendung von Discord-Bots auf das Verified-App-Abzeichen achten.
• Jede Wallet-Signatur-Anforderung sollte sorgfältig geprüft werden. Was man nicht vollständig versteht oder einem verdächtig vorkommt, sollte man niemals genehmigen.
• Sicherheitsverantwortliche sollten Browser-Sicherheitslösungen und Endpunktschutz mit Echtzeit-Bedrohungsinformationen implementieren, um Mitarbeiter und das Unternehmen zu schützen.