Betrügerische OpenClaw-Installation: Hacker stehlen Krypto-Wallets und Passwort-Manager-Zugänge

Die Größe war absichtlich gewählt: Sie überschreitet Antiviren-Dateigrößen-Schwellenwerte und umgeht in einem Zug automatisierte Sandbox-Upload-Limits. Forscher die Kampagne aufgedeckt und dokumentiert, was sie als „Hologram"-Welle bezeichnen – eine zweite und deutlich fortschrittlichere Iteration der Operation.

Das Manifest des Droppers unterlässt keinerlei Versuch, seinen Zweck zu verschleiern; es nennt sich offen „Hologram" und beschreibt sich als „Generierung äten für taktische Täuschungen". Sobald der gefälschte Installer ausgeführt wird, prüft er auf Anzeichen dafür, dass er sich in einer virtuellen Maschine oder einem Sandbox-Umfeld befindet.

Er scannt nach BIOS-Strings, die mit virtuellen Maschinen verknüpft sind, verdächtigen Softwarebibliotheken sowie Hardware-Profile, die nicht mit echten Systemen übereinstimmen. Wenn diese Prüfungen bestehen, wartet der Dropper auf echte Mausbewegungen, bevor er weitere Aktionen ausführt.

Sicherheitslage und Risiko

Automatisierte Sandboxes bewegen die Maus nicht; daher bleibt die Malware unbewegt und wird niemals erkannt. Nach Bestätigung, dass sich das Programm auf einem echten Rechner befindet, deaktiviert der Dropper Windows Defender, öffnet Firewall-Ports und lädt sechs modulare Komponenten herunter, die zusammenarbeiten.

Sobald alle sechs Module erfolgreich geladen sind, erhält der Angreifer eine Bestätigung in seinem privaten Telegram-Kanal. Die Komponente zur Diebstahl ist breit angelegt und gut organisiert. Die Malware lädt eine Zielliste Azure DevOps-Organisation herunter, die 250 Browser-Erweiterungen umfasst.

Diese Liste enthält 201 Krypto-Wallets wie MetaMask, Phantom, Coinbase, OKX, Rabby und Ronin sowie 49 Passwort-Manager und Authenticator-Apps, darunter Bitwarden, LastPass, 1Password, NordPass, KeePass und Google Authenticator.

Sicherheitslage und Risiko

Da die Liste in einem entfernten Git-Repository gespeichert ist und nicht in einer Binärdatei fest codiert, können Angreifer die Ziele aktualisieren, ohne die Malware neu schreiben zu müssen. Die Liste der angegriffenen Anwendungen kann sich stillschweigend erweitern, ohne neue Erkennungen auszulösen.

Unabhängig davon greift die Malware auch auf Ledger Live-Daten im Dateisystem zu und bietet dem Angreifer zwei unabhängige Diebstahlwege. Die sechs Module der zweiten Stufe erfüllen jeweils eine spezifische Funktion. Eines sammelt Hardware-Fingerabdrücke, um zu entscheiden, ob der Opfer ein vollständiger Angriff lohnenswert ist.

Ein anderes öffnet eine persistente Verbindung zum Server der Angreifer. Ein drittes Mal lädt eine versteckte.NET-Sammlung vollständig in den Arbeitsspeicher mithilfe eines Rust-Komponentens namens clroxide, eine Technik, die in einer Crimeware-Kampagne noch nie zuvor dokumentiert wurde.

Technik und Auswirkungen

Die Persistenz ist über Registrierungsautoruns, einen Windows-Anmelde-Hijack, einen geplanten Task und Telegram-basierte Dropper gestaffelt, die auch dann überleben, wenn das Hauptimplant entfernt wird. Eine sich schnell entwickelnde Bedrohung mit rotierender Infrastruktur.

Was diese Kampagne so schwer zu stoppen macht, ist die Art und Weise, wie der Angreifer seine Infrastruktur handhabt. Die Adresse des Command-Servers wird niemals hartcodiert im Malware-Code hinterlegt.

Stattdessen liest das Implant diese Adresse aus der Beschreibung eines Telegram-Kanals; falls ein Domain blockiert wird, zieht es beim nächsten Check-in eine neue. Während der aktiven Analyse rotierte der Angreifer jede Ebene, bevor die Erkenntnisse veröffentlicht wurden. Screenshot der OneDriveSync-Startverknüpfung (Quelle – Netskope).

Moegliche Anwendungen

Alle Opferdaten, einschließlich Benutzernamen, IP-Adressen und Zeitstempel, werden über Hookdeck, einen legitimen Webhook-Relay-Dienst, geroutet. Dies hält den Telegram-Bot-Token des Angreifers vollständig aus dem Netzwerkverkehr heraus und erschwert die Rückverfolgung des eigentlichen Kommandohinterlehrs erheblich.

Sicherheitsteams sollten nach Verhaltensmustern Ausschau halten, die auch nach einer Domänenrotation bestehen bleiben. Dazu gehören ungewöhnlich große Installationsdateien, PowerShell-Ausführungen aus abgelegten Binärdateien mit fragmentierten Befehlsnamen, ausgehende Verbindungen zu Webhook-Relais-Domänen, Azure DevOps-Verbindungen Öffnung 56001 bis 57002.

Die alleinige Blockierung einzelner Domänen reicht nicht aus. Eine Inspektion auf Anwendungsebene sowie verhaltensbasierte Erkennung sind erforderlich, um festzustellen, was diese Kampagne innerhalb vertrauenswürdiger Dienste tut.

Die Re-Fang-Aktivitäten sind ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen. Sie uns auf