{"id":232797,"date":"2026-07-08T04:01:18","date_gmt":"2026-07-08T11:01:18","guid":{"rendered":"https:\/\/www.mcafee.com\/blogs\/?p=232797"},"modified":"2026-07-08T04:01:18","modified_gmt":"2026-07-08T11:01:18","slug":"krypto-clipper-wallet-austausch-browser-erweiterung-malware","status":"publish","type":"post","link":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/","title":{"rendered":"Still und heimlich ausgetauscht: Eine Kampagne mit &#8220;Crypto Clipper&#8221;-Erweiterung"},"content":{"rendered":"<p style=\"text-align: center;\"><em>Verfasst von Neil Tyagi<\/em><\/p>\n<h2><b><span data-contrast=\"none\">Zusammenfassung<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">McAfee+\u2122 Advanced Threat Research hat <strong>eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen kurz vor einer Transaktion unbemerkt ersetzt werden, um so Kryptow\u00e4hrung zu stehlen.<\/strong> Die Payload wird \u00fcber unsignierte Installationsprogramme verteilt, die sowohl in .NET- als auch in Golang-Varianten beobachtet wurden. Die Programme installieren eine sch\u00e4dliche Chromium-Erweiterung, die sich als vermeintlich harmlose &#8220;Google Notes&#8221;-Anwendung tarnt.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Die Kampagne steht in Zusammenhang mit einem fr\u00fcheren Blog-Beitrag von McAfee Labs mit dem Titel <\/span><a href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/sinkholing-countloader-insights-into-its-recent-campaign\/\"><i><span data-contrast=\"none\">&#8220;Sinkholing CountLoader: Insights into Its Recent Campaign&#8221; (Sinkholing CountLoader: Einblicke in die neueste Kampagne)<\/span><\/i><\/a><span data-contrast=\"none\">,<\/span><span data-contrast=\"auto\"> da hinter<\/span><span data-contrast=\"auto\"> beiden<\/span><span data-contrast=\"auto\"> Operationen<\/span> offenbar derselbe Bedrohungsakteur steckt<span data-contrast=\"auto\">.<\/span><span data-contrast=\"auto\"> In der fr\u00fcheren Untersuchung analysierten wir eine Crypto Clipper-Payload, die direkt in den Arbeitsspeicher injiziert wurde. In diesem Beitrag untersuchen wir eine andere Variante der Endphasen-Payload: eine browserbasierte, sch\u00e4dliche Erweiterung, die Kryptow\u00e4hrungstransaktionen abf\u00e4ngt und manipuliert. <\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">In diesem Bericht beschreiben wir detailliert die Vorgehens- und Funktionsweise der Erweiterung und f\u00fchren eine technische Analyse der Mechanismen durch, die diese Bedrohung so au\u00dfergew\u00f6hnlich machen. Die Erweiterung verh\u00e4lt sich wie ein Crypto Clipper mit \u00dcberwachung der Zwischenablage: Sie \u00fcberwacht Kopier- und Einf\u00fcgevorg\u00e4nge, erkennt Wallet-Adressen f\u00fcr mehrere Blockchains und ersetzt diese durch vom Angreifer kontrollierte Adressen, kurz bevor das Opfer den Inhalt einf\u00fcgt. Da die meisten Blockchain-Transaktionen nicht r\u00fcckg\u00e4ngig gemacht werden k\u00f6nnen, kann bereits eine einzige manipulierte Transaktion zu dauerhaftem finanziellen Verlust f\u00fchren.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Zwei Merkmale heben diese Kampagne von der typischen Clipper-Bedrohung ab:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ol>\n<li><b><span data-contrast=\"auto\">Missbrauch der Vertrauensschicht in Chromium:<\/span><\/b><b><span data-contrast=\"auto\">\u00a0<\/span><\/b><span data-contrast=\"auto\">Das Installationsprogramm zwingt Chromium-basierten Browsern wie Google Chrome, Brave und Microsoft Edge unbemerkt eine sch\u00e4dliche Browsererweiterung auf, indem es gesch\u00fctzte Dateien f\u00fcr Browsereinstellungen ver\u00e4ndert. In der Regel speichern die Browser Sicherheits\u00fcberpr\u00fcfungsdaten (Hash-\/HMAC-Werte) zusammen mit sensiblen Einstellungen, um unbefugte \u00c4nderungen zu erkennen<\/span>.<b><span data-contrast=\"auto\">\u00a0<\/span><\/b><span data-contrast=\"auto\">Die Malware berechnet diese Sicherheitswerte nach der Manipulation der Dateien neu und ver\u00e4ndert sie entsprechend, wodurch der Browser glaubt, die sch\u00e4dliche Erweiterung sei rechtm\u00e4\u00dfig installiert worden. Dadurch kann die Erweiterung den \u00fcblichen Installationsprozess \u00fcber den Web Store f\u00fcr Erweiterungen umgehen und unbemerkt ohne Zustimmung des Benutzers im Hintergrund geladen werden. Bei den aktuellen Versionen der Browser Chrome und Edge muss das Opfer den Entwicklermodus manuell aktivieren, damit die Erweiterung ordnungsgem\u00e4\u00df geladen wird. Benutzer mit \u00e4lteren Versionen von Chromium-basierten Browsern sind jedoch weiterhin einem hohen Risiko ausgesetzt. Bei den neuesten Versionen wenden die Angreifer auch h\u00e4ufig Social-Engineering-Taktiken an, um den Entwicklermodus zu aktivieren.<\/span><\/li>\n<li><span data-contrast=\"auto\"><strong>Blockchain-gest\u00fctztes Command-and-Control (C2):<\/strong> Die Erweiterung enth\u00e4lt keine fest programmierte C2-Domain. Stattdessen fragt sie einen \u00f6ffentlichen Blockchain-RPC-Endpunkt ab, ruft eine schreibgesch\u00fctzte Smart-Contract-Methode auf und dekodiert die Antwort zur Laufzeit, um die zum Zeitpunkt der Analyse beobachtete aktive C2-Domain <span data-contrast=\"none\">&#8220;zebregts[.]com&#8221; offenzulegen. <\/span><span data-contrast=\"auto\">Diese oft als <strong>&#8220;EtherHiding&#8221;<\/strong> bezeichnete Technik erschwert die Stilllegung von C2-Domains, da der Angreifer die Infrastruktur wechseln kann, indem er einfach einen Wert des Smart Contracts \u00e4ndert, sodass die Malware nicht erneut \u00fcbertragen werden muss.<\/span><\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ol>\n<p><span class=\"TextRun SCXW228011278 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW228011278 BCX0\">Die McAfee-Telemetriedaten <\/span><span class=\"NormalTextRun SCXW228011278 BCX0\">zeigen, <\/span><span class=\"NormalTextRun SCXW228011278 BCX0\">dass sich die Malware weltweit verbreitet, wobei Indien besonders stark betroffen ist. Die breite geografische Streuung deutet eher auf eine gezielte Jagd auf private Kryptow\u00e4hrungs-Nutzer hin als auf einen Angriff auf eine bestimmte Region.<\/span><\/span><span class=\"EOP Selected SCXW228011278 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun SCXW20172865 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW20172865 BCX0\" data-ccp-parastyle=\"heading 2\">Geografische Verbreitung<\/span><\/span><span class=\"EOP Selected SCXW20172865 BCX0\" data-ccp-props=\"{\">\u00a0\u00a0<\/span><\/h2>\n<figure id=\"attachment_231885\" aria-describedby=\"caption-attachment-231885\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231885\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-1024x574.png\" alt=\"Eine Weltkarte mit den von der Cybersicherheitsbedrohung betroffenen L\u00e4ndern.\" width=\"1024\" height=\"574\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-1024x574.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-300x168.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-768x431.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-205x115.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM.png 1462w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231885\" class=\"wp-caption-text\">Unsere Untersuchungen zeigen, dass dies die weltweit am st\u00e4rksten betroffenen Regionen sind.<\/figcaption><\/figure>\n<p>Die Analyse der Telemetriedaten zeigt, dass <strong>die Infektionen weltweit auftreten<\/strong>, wobei in Indien im Vergleich zu anderen Regionen eine deutlich h\u00f6here Konzentration zu beobachten ist.<span class=\"EOP Selected SCXW160185877 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><span class=\"TextRun SCXW109407542 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW109407542 BCX0\">Die breite geografische Streuung deutet eher auf eine gezielte Jagd auf private Kryptow\u00e4hrungs-Nutzer hin als auf einen Angriff auf eine bestimmte Region.<\/span><\/span><span class=\"EOP Selected SCXW109407542 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun SCXW34834531 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW34834531 BCX0\" data-ccp-parastyle=\"heading 2\">Die sch\u00e4dliche Erweiterung: &#8220;Google Notes&#8221;<\/span><\/span><span class=\"EOP Selected SCXW34834531 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span class=\"TextRun SCXW148697599 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW148697599 BCX0\">Die Malware tarnt sich als <\/span><span class=\"NormalTextRun SCXW148697599 BCX0\">scheinbar harmlose<\/span><span class=\"NormalTextRun SCXW148697599 BCX0\"> Google Notes-Erweiterung.<\/span><\/span><span class=\"EOP Selected SCXW148697599 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<figure id=\"attachment_231900\" aria-describedby=\"caption-attachment-231900\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231900\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1024x818.png\" alt=\"Die sch\u00e4dliche Google Chrome-Erweiterung.\" width=\"1024\" height=\"818\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1024x818.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-300x240.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-768x614.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1536x1228.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-161x129.png 161w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM.png 1554w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231900\" class=\"wp-caption-text\"><em>Abb. 1: Das Bild zeigt die sch\u00e4dliche Erweiterung, die im Mittelpunkt der Kampagne steht.<\/em><\/figcaption><\/figure>\n<p><span data-contrast=\"auto\">Die installierte Erweiterung pr\u00e4sentiert sich als minimalistische, seri\u00f6s wirkende Notizenanwendung mit dem Namen &#8220;Google Notes&#8221;, einem unverd\u00e4chtigen Symbol und einer funktionalen (und einfach gestalteten) Benutzeroberfl\u00e4che. <\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Die Tarnung ist gut durchdacht: Wenn Benutzer die Erweiterung manuell \u00f6ffnen, finden sie ein Programm vor, das wie beschrieben funktioniert und somit kaum Verdacht erregt. Die sch\u00e4dliche Logik der Erweiterung ist in Service-Worker- und Content-Skripten implementiert, die im Hintergrund laufen und auf der Benutzeroberfl\u00e4che nicht zu sehen sind.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<p><b>Ein erstes deutliches Warnsignal tritt bereits beim Installieren der Erweiterung auf, wenn sie Sicherheitsberechtigungen und Zugriffsrechte anfordert, die f\u00fcr eine typische Notizenanwendung au\u00dferordentlich umfangreich sind. Dazu geh\u00f6ren:<\/b><b><\/b><b><\/b><b><\/b><b><\/b><b><\/b><b><\/b><b><\/b><\/p>\n<ul>\n<li><span data-contrast=\"auto\">Zugriff auf alle URLs, wodurch Content-Skripte in jede vom Benutzer besuchte Website injiziert werden k\u00f6nnen<\/span><\/li>\n<li><span data-contrast=\"auto\">Zugriff auf den Browserverlauf<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Lese- und Schreibzugriff auf die Zwischenablage<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">Schutzma\u00dfnahmen und Empfehlungen<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">F\u00fcr Verbraucher<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<ol>\n<li><span data-contrast=\"auto\">Bevor Sie eine Kryptow\u00e4hrungstransaktion best\u00e4tigen,<\/span><b><span data-contrast=\"auto\"> gleichen Sie manuell die ersten und letzten sechs Zeichen der eingef\u00fcgten Empf\u00e4ngeradresse <\/span><\/b><span data-contrast=\"auto\"> mit der Originaladresse ab\u00a0\u2013 idealerweise auf einem separaten Ger\u00e4t.\u00a0Mit dieser einen Ma\u00dfnahme k\u00f6nnen Sie sich bereits vor den meisten Clipper-Angriffen sch\u00fctzen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Installieren Sie Browser-Erweiterungen ausschlie\u00dflich \u00fcber den offiziellen Chrome Web Store<\/span><\/b><span data-contrast=\"auto\">, dem Edge-Add-ons-Store oder einem vergleichbaren Store. Wenn eine Erweiterung in Ihrer Liste installierter Erweiterungen erscheint, an deren Installation Sie sich jedoch nicht eindeutig erinnern k\u00f6nnen, sollten Sie sie als verd\u00e4chtig einstufen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">\u00dcberpr\u00fcfen Sie die Berechtigungen der installierten Erweiterungen<\/span><\/b><span data-contrast=\"auto\">. Es gibt keinen guten Grund, warum ein Tool zum Erstellen von Notizen Zugriff auf alle Websites, den Browserverlauf oder die Zwischenablage ben\u00f6tigt.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">F\u00fchren Sie keine unsignierten ausf\u00fchrbaren Dateien von nicht vertrauensw\u00fcrdigen Quellen aus\u00a0\u2013<\/span><\/b><span data-contrast=\"auto\"> insbesondere nicht von Seiten, die kostenlose oder gecrackte Versionen kostenpflichtiger Software anbieten. Dies ist ein h\u00e4ufiger \u00dcbertragungsweg f\u00fcr Installationsprogramme dieser Art.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Stellen Sie sicher, dass Ihr Endger\u00e4teschutz auf dem neuesten Stand ist und aktiviert wurde.<\/span><\/b><span data-contrast=\"auto\"> Wie im Folgenden beschrieben, sind McAfee-Kunden vor dieser speziellen Kampagne gesch\u00fctzt.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ol>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Die McAfee\u00ae Security-L\u00f6sungen sch\u00fctzen Benutzer auf mehreren Ebenen:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<h4><b><span data-contrast=\"auto\">1. McAfee erkennt diese Bedrohung als &#8220;CryptoStealer.NE&#8221; und sorgt so f\u00fcr die Sicherheit von McAfee-Kunden.<\/span><\/b><span data-ccp-props=\"{}\">\u00a0<\/span><\/h4>\n<figure id=\"attachment_231915\" aria-describedby=\"caption-attachment-231915\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-231915\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1024x513.png\" alt=\"Abb. 2: Dieses Bild zeigt, wie McAfee Antivirus die Bedrohung f\u00fcr Privatanwender blockiert. \" width=\"1024\" height=\"513\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1024x513.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-300x150.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-768x385.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1536x770.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-205x103.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM.png 1608w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231915\" class=\"wp-caption-text\"><em>Abb. 2: Dieses Bild zeigt, wie McAfee Antivirus die Bedrohung f\u00fcr Privatanwender blockiert.<\/em><\/figcaption><\/figure>\n<h4><b><span data-contrast=\"auto\">2. Schutz vor sch\u00e4dlichen Downloads<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">Das Verhalten des Installationsprogramms \u2013 Herunterladen und Ausf\u00fchren von Payloads \u2013 wird von McAfee erkannt und blockiert, noch bevor eine Infektion erfolgen kann.<\/span><span data-contrast=\"auto\">\u00a0<\/span><span data-contrast=\"auto\">In unseren Tests wurden alle sch\u00e4dlichen Domains und URLs durch McAfee blockiert.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h4><b><span data-contrast=\"auto\">3. Netzwerkschutz<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">Verbindungen zu bekannter b\u00f6swilliger Infrastruktur (C2-Servern) werden von McAfee blockiert, wodurch das Abrufen von Wallet-Adressen verhindert wird.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h4><b><span data-contrast=\"auto\">4. Echtzeit-Bedrohungsdaten<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">Da die Bedrohung in den McAfee-Telemetriedaten erkannt wurde, werden mit den Schutzfunktionen folgende Ma\u00dfnahmen ergriffen:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ul>\n<li><span data-contrast=\"auto\">Blockierung \u00e4hnlicher Varianten<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Erkennung zugeh\u00f6riger Infrastruktur<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Schutz von Kunden weltweit<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<h1><span class=\"TextRun SCXW230324404 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW230324404 BCX0\" data-ccp-parastyle=\"heading 1\">So funktioniert die Bedrohungskampagne<\/span><\/span><span class=\"EOP Selected TrackedChange SCXW230324404 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h1>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">So geht die Malware vor<\/span><span data-ccp-props=\"{\">\u00a0\u00a0<\/span><\/h2>\n<ol>\n<li><span data-contrast=\"auto\">Sie installiert im Hintergrund eine <\/span><span data-contrast=\"auto\">Browser-Erweiterung (Stichwort: Sideloading von Web-Erweiterungen).<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie \u00fcberwacht alle Kopier- und Einf\u00fcgevorg\u00e4nge (insbesondere Kryptow\u00e4hrungs-Adressen).<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie aktiviert sich, wenn Sie eine Kryptow\u00e4hrungs-Transaktion ausf\u00fchren.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie ersetzt die Wallet-Adresse unbemerkt durch die Adresse der Angreifer.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Ihr Geld wird an die Angreifer statt an den vorgesehenen Empf\u00e4nger gesendet.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ol>\n<p><span data-contrast=\"auto\">Da Transaktionen mit Kryptow\u00e4hrungen in der Regel <\/span><b><span data-contrast=\"auto\">nicht r\u00fcckg\u00e4ngig<\/span><\/b><span data-contrast=\"auto\"> gemacht werden k\u00f6nnen, ist <strong>das Geld der Opfer h\u00e4ufig unwiederbringlich verloren.<\/strong><\/span><\/p>\n<figure id=\"attachment_231930\" aria-describedby=\"caption-attachment-231930\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231930\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-1024x849.png\" alt=\"Abb. 3: \u00dcberblick \u00fcber die Funktionsweise der Erweiterung. \" width=\"1024\" height=\"849\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-1024x849.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-300x249.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-768x637.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-156x129.png 156w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM.png 1414w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231930\" class=\"wp-caption-text\"><em>Abb. 3: \u00dcberblick \u00fcber die Funktionsweise der Erweiterung.<\/em><\/figcaption><\/figure>\n<h2><span class=\"TextRun SCXW178309168 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW178309168 BCX0\" data-ccp-parastyle=\"heading 2\">Identifizierte Kernfunktionen<\/span><\/span><span class=\"EOP Selected SCXW178309168 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<h3><span class=\"TextRun MacChromeBold SCXW263237166 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW263237166 BCX0\">1. Installation einer Erweiterung im Hintergrund<\/span><\/span><span class=\"EOP Selected SCXW263237166 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/h3>\n<p><span data-contrast=\"auto\">Die Malware nutzt nicht den offiziellen Browser-Store, sondern ver\u00e4ndert die lokalen Browser-Dateien so, dass es so aussieht, als sei die Erweiterung installiert worden (Sideloading einer Browser-Erweiterung).<\/span><\/p>\n<p><span data-contrast=\"auto\"><span data-ccp-props=\"{}\">Dadurch werden die \u00fcblichen Sicherheitsabfragen umgangen und der Benutzer wird nicht darauf aufmerksam.<\/span><span data-contrast=\"auto\">\u00a0<\/span><\/span><span data-ccp-props=\"{}\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231945\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1024x200.png\" alt=\"&lt;\/span Abb. 4: Procmon-Protokolle, die zeigen, dass das sch\u00e4dliche Web-Installationsprogramm \" width=\"1024\" height=\"200\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1024x200.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-300x59.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-768x150.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1536x300.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-205x40.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM.png 1576w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/> <\/span><\/p>\n<h3><span class=\"TextRun MacChromeBold SCXW45645796 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW45645796 BCX0\">2. Vollst\u00e4ndiger Browserzugriff<\/span><\/span><span class=\"EOP Selected SCXW45645796 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/h3>\n<figure id=\"attachment_231962\" aria-describedby=\"caption-attachment-231962\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231962\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-1024x403.png\" alt=\"Abb. 5: Erforderliche Berechtigungen f\u00fcr die Chrome-Erweiterung. \" width=\"1024\" height=\"403\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-1024x403.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-768x302.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM.png 1184w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231962\" class=\"wp-caption-text\"><em>Abb. 5: Erforderliche Berechtigungen f\u00fcr die Chrome-Erweiterung.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_231977\" aria-describedby=\"caption-attachment-231977\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231977\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1024x544.png\" alt=\"Abb. 6: Manifest-Datei f\u00fcr die Web-Erweiterung. \" width=\"1024\" height=\"544\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1024x544.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-300x160.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-768x408.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1536x817.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-205x109.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM.png 1610w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231977\" class=\"wp-caption-text\"><em>Abb. 6: Manifest-Datei f\u00fcr die Web-Erweiterung.<\/em><\/figcaption><\/figure>\n<p><span data-contrast=\"auto\">Die sch\u00e4dliche Erweiterung fordert u.\u00a0a. folgende \u00fcberm\u00e4\u00dfige Berechtigungen an:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ul>\n<li><span data-contrast=\"auto\">Zugriff auf alle Websites<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Lesezugriff auf den Browserverlauf<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Lese- und Schreibzugriff auf den Inhalt der Zwischenablage<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<h3><b><span data-contrast=\"auto\">3. Abfangen von Kryptow\u00e4hrungs-Adressen<\/span><\/b><\/h3>\n<p><span data-contrast=\"auto\">Die Erweiterung enth\u00e4lt eine Logik zur Erkennung von Wallet-Adressen f\u00fcr verschiedene Kryptow\u00e4hrungen. Dazu geh\u00f6ren folgende:<\/span><\/p>\n<figure id=\"attachment_231992\" aria-describedby=\"caption-attachment-231992\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231992\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1024x357.png\" alt=\"Abb. 7: Fest programmierte Regexes und Ausweichadressen f\u00fcr Kryptow\u00e4hrungen.\" width=\"1024\" height=\"357\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1024x357.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-300x104.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-768x268.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1536x535.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-205x71.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM.png 1602w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231992\" class=\"wp-caption-text\"><em>Abb. 7: Fest programmierte Regexes und Ausweichadressen f\u00fcr Kryptow\u00e4hrungen.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Die im Code angegebenen Fallback-Adressen f\u00fcr Wallets werden nicht bei jeder Transaktion verwendet. Sie dienen vielmehr als Sicherheitsmechanismus f\u00fcr den Fall, dass der dynamische Abruf der Adressen vom Server der Angreifer fehlschl\u00e4gt.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Wenn alles normal funktioniert, ruft die Erweiterung Ersatzadressen von einem Remote-Server ab, um Wallet-Adressen dynamisch und potenziell f\u00fcr das jeweilige Opfer zuzuweisen.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Dank der Ausweichadressen funktioniert der Angriff auch dann, wenn die Command-and-Control-Infrastruktur vor\u00fcbergehend nicht verf\u00fcgbar ist oder blockiert wird.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232007\" aria-describedby=\"caption-attachment-232007\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232007 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1024x259.png\" alt=\"Abb. 8: Die sch\u00e4dliche Erweiterung f\u00fchrt eine dynamische Aufl\u00f6sung von Kryptow\u00e4hrungs-Adressen durch. \" width=\"1024\" height=\"259\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1024x259.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-300x76.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-768x194.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1536x389.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-205x52.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232007\" class=\"wp-caption-text\"><em>Abb. 8: Die sch\u00e4dliche Erweiterung f\u00fchrt eine dynamische Aufl\u00f6sung von Kryptow\u00e4hrungs-Adressen durch.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Diese Funktion dient dazu, die von den Angreifern kontrollierte Ersatzadresse f\u00fcr die Wallet-Adresse des Opfers abzurufen.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die Funktion sendet die abgefangene Wallet-Adresse an das Angreifer-Backend, erh\u00e4lt eine Antwort und ersetzt dann dynamisch die urspr\u00fcngliche Adresse. <\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Wenn die Backend-Anfrage fehlschl\u00e4gt, greift die Funktion auf eine vordefinierte, fest programmierte Wallet-Adresse zur\u00fcck, sodass die b\u00f6swilligen Aktivit\u00e4ten ununterbrochen fortgesetzt werden k\u00f6nnen.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">3J98t1Wxxxx ist die Adresse, die in die Zwischenablage kopiert wurde.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<h3><span class=\"TextRun MacChromeBold SCXW175329495 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW175329495 BCX0\">4.<\/span><span class=\"NormalTextRun SCXW175329495 BCX0\">\u00a0<\/span><span class=\"NormalTextRun SCXW175329495 BCX0\">Umgehung von Erkennungsma\u00dfnahmen und Verschleierung<\/span><\/span><span class=\"EOP Selected SCXW175329495 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/h3>\n<figure id=\"attachment_232022\" aria-describedby=\"caption-attachment-232022\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232022 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1024x476.png\" alt=\"Abb. 8: Die Datei &quot;Settings.js&quot; mit Konfiguration.\" width=\"1024\" height=\"476\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1024x476.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-300x139.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-768x357.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1536x714.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-205x95.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232022\" class=\"wp-caption-text\"><em>Abb. 8: Die Datei &#8220;Settings.js&#8221; mit Konfiguration.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Die Konfiguration enth\u00e4lt einen fest programmierten API-Schl\u00fcssel, mit dem die Erweiterung die Kommunikation mit der Angreifer-Infrastruktur authentifiziert.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Mithilfe einer RPC-URL, die auf einen \u00f6ffentlichen Blockchain-Knoten verweist, werden Backend-Serverinformationen dynamisch aufgel\u00f6st. Dadurch kann der Angreifer kritische Infrastruktur hinter dezentralen Systemen verbergen.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die Anwesenheit einer Smart-Contract-Adresse und der entsprechenden Methode deutet darauf hin, dass die Malware ihre C2-Domain indirekt \u00fcber Blockchain-Abfragen abruft, was die Stilllegung und Nachverfolgung der Server erschwert.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die unter &#8220;Blacklist&#8221; aufgef\u00fchrten URLs sind Websites zur Blockchain-\u00dcberpr\u00fcfung, auf denen die Web-Erweiterung deaktiviert ist. Dies geschieht, damit das Opfer keinen Verdacht sch\u00f6pft, w\u00e4hrend es versucht, seine eigene Adresse einzuf\u00fcgen, den Kontostand seiner Wallet abzurufen oder die Transaktionen seiner Wallet zu \u00fcberpr\u00fcfen.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232037\" aria-describedby=\"caption-attachment-232037\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232037\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1024x425.png\" alt=\"Abb. 9: Aufl\u00f6sung der C2-Domain des Angreifers \u00fcber Ethereum-Smart-Contract (Etherhiding). \" width=\"1024\" height=\"425\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1024x425.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-300x124.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-768x318.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1536x637.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-205x85.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232037\" class=\"wp-caption-text\"><em>Abb. 9: Aufl\u00f6sung der C2-Domain des Angreifers \u00fcber Ethereum-Smart-Contract (Etherhiding).<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232052\" aria-describedby=\"caption-attachment-232052\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232052\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1024x294.png\" alt=\"Abb. 10: Request-Payload mit Adresse des Ethereum-Smart-Contracts. \" width=\"1024\" height=\"294\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1024x294.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-300x86.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-768x220.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1536x441.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-205x59.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232052\" class=\"wp-caption-text\"><em>Abb. 10: Request-Payload mit Adresse des Ethereum-Smart-Contracts.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Eine dynamische Analyse ergab, dass die Malware ihre C2-Domain \u00fcber einen Smart Contract in der Blockchain aufl\u00f6st, der zur Laufzeit die Domain\u00a0<\/span><b><i><span data-contrast=\"auto\">devops-offensive[.]cc <\/span><\/i><\/b><span data-contrast=\"auto\">ausgibt.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die Antwort aus der Blockchain wird zur Laufzeit entschl\u00fcsselt, wodurch die aktive C2-Domain (devops-offensive.cc) offengelegt wird.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Diese Domain ist nicht fest codiert, sodass der Angreifer die Infrastruktur ver\u00e4ndern kann, ohne die Malware umschreiben zu m\u00fcssen.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die aufgel\u00f6ste Domain wird lokal zwischengespeichert, um Persistenz zu gew\u00e4hrleisten und wiederholte Netzwerkabfragen zu vermeiden.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232067\" aria-describedby=\"caption-attachment-232067\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-232067\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1024x258.png\" alt=\"Abb. 11: Das Bild zeigt die langkodierte Zeichenfolge mit der sch\u00e4dlichen Domain. \" width=\"1024\" height=\"258\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1024x258.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-300x76.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-768x194.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1536x387.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-205x52.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232067\" class=\"wp-caption-text\"><em>Abb. 11: Das Bild zeigt die langkodierte Zeichenfolge mit der sch\u00e4dlichen Domain.<\/em><\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW196653296 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW196653296 BCX0\">Die <\/span><\/span><span class=\"TextRun SCXW196653296 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW196653296 BCX0\">langkodierte Zeichenfolge wird mithilfe der folgenden <\/span><span class=\"NormalTextRun SCXW196653296 BCX0\">Funktion<\/span> entschl\u00fcsselt, <span class=\"NormalTextRun SCXW196653296 BCX0\">um die Angreifer-Domain auszugeben.<\/span><\/span><\/p>\n<figure id=\"attachment_232082\" aria-describedby=\"caption-attachment-232082\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-232082\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1024x252.png\" alt=\"Abb. 12: Das Bild zeigt die endg\u00fcltige Angreifer-Domain. \" width=\"1024\" height=\"252\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1024x252.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-300x74.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-768x189.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1536x378.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-205x51.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232082\" class=\"wp-caption-text\"><em>Abb. 12: Das Bild zeigt die endg\u00fcltige Angreifer-Domain.<\/em><\/figcaption><\/figure>\n<h2><span class=\"TextRun SCXW127612542 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW127612542 BCX0\" data-ccp-parastyle=\"heading 2\">Persistenz- und Verschleierungstechniken<\/span><\/span><span class=\"EOP Selected SCXW127612542 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span class=\"TextRun SCXW32004784 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW32004784 BCX0\">Die Kampagnentechniken zur Persistenz und Verschleierung sind bewusst mehrschichtig gew\u00e4hlt.<\/span><span class=\"NormalTextRun SCXW32004784 BCX0\"> Der Akteur hat sie eindeutig auf <\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW32004784 BCX0\">zwei Aspekte hin optimiert: geringe Sichtbarkeit f\u00fcr den Endnutzer und hohe Widerstandsf\u00e4higkeit gegen\u00fcber Stilllegungsma\u00dfnahmen und statischen Analysen.<\/span><\/span><span class=\"EOP Selected TrackedChange SCXW32004784 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Persistenz<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<ul>\n<li><span data-contrast=\"auto\">Die Registrierung der Erweiterung durch die Manipulation der &#8220;Secure Preferences&#8221; sorgt daf\u00fcr, dass die Erweiterung bei jedem nachfolgenden Start des Browsers geladen wird, ohne dass ein zus\u00e4tzlicher Persistenzmechanismus unter Windows erforderlich ist.<\/span><b><i><span data-contrast=\"auto\"> Es m\u00fcssen also keine Registry-Schl\u00fcssel ausgef\u00fchrt oder geplante Aufgaben oder Dienste erstellt werden, die von Endpunkt-Analysten \u00fcblicherweise \u00fcberpr\u00fcft werden.<\/span><\/i><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Der Entwicklermodus wird bei Bedarf programmatisch aktiviert. Dadurch k\u00f6nnen entpackte Erweiterungen bestehen bleiben, ohne die regelm\u00e4\u00dfig wiederkehrenden Chromium-Warnhinweise auszul\u00f6sen, die vor Sideloading abschrecken sollen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Durch die zwischengespeicherte C2-Domain kann die Erweiterung weiterhin auf ein zuverl\u00e4ssig funktionierendes Backend zugreifen, selbst wenn der RPC-Endpunkt der Blockchain vor\u00fcbergehend nicht verf\u00fcgbar ist.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Verschleierung<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<ul>\n<li><span data-contrast=\"auto\">Die Tarnung der Erweiterung als einfache Notizen-App &#8220;Google Notes&#8221; f\u00e4llt bei einem fl\u00fcchtigen Blick auf die Liste der installierten Erweiterungen nicht sofort auf.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die neu berechneten HMAC-Werte bestehen die Chromium-Integrit\u00e4tspr\u00fcfung, wodurch das Banner &#8220;Erweiterung aus einer unbekannten Quelle installiert&#8221; nicht erscheint, das Benutzer sonst warnen w\u00fcrde.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Das Installationsprogramm l\u00f6scht sich nach der Ausf\u00fchrung selbst und beseitigt damit den offensichtlichsten Kompromittierungsindikator auf der Festplatte f\u00fcr den Erstangriff<\/span><span data-contrast=\"auto\">.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Durch die Aufl\u00f6sung des C2-Servers \u00fcber eine \u00f6ffentliche Blockchain ist im Malware-Paket selbst keine dauerhafte C2-Domain erkennbar. Netzwerkbasierte Erkennungsmechanismen, die auf fest programmierten Indikatoren basieren, werden erst ausgel\u00f6st, wenn die Domain aufgel\u00f6st und kontaktiert wird.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Mehrsprachige Installationsvarianten (.NET und Golang) senken die Wirksamkeit der Erkennung von Signaturen von Kompilierungsartefakten und Bin\u00e4rfunktionen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Dank der dynamischen Ersetzung der jeweiligen Adresse verfallen ver\u00f6ffentlichte Angreiferadressen sehr schnell und k\u00f6nnen nicht zu dauerhaften Blocklist-Eintr\u00e4gen zusammengetragen werden. Die Verteidiger m\u00fcssen daher den Backend-Dienst selbst blockieren, nicht die von ihm vergebenen Adressen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2><span class=\"TrackedChange SCXW175054041 BCX0\"><span class=\"TextRun SCXW175054041 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW175054041 BCX0\" data-ccp-parastyle=\"heading 2\">Logik der Ersetzung von Wallet-Adressen<\/span><\/span><\/span><span class=\"EOP Selected SCXW175054041 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">Die Clipper-Logik ist in zwei Ebenen unterteilt: eine Ebene mit Content-Skripten, die die Aktivit\u00e4ten in der Zwischenablage sowie die DOM-Eingabefelder auf allen besuchten Domains \u00fcberwacht, und eine Hintergrundebene, die mit dem Backend des Angreifers kommuniziert und Ersatzadressen abruft.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Wenn die Erweiterung einen Kopiervorgang feststellt, wendet sie eine Reihe von kryptow\u00e4hrungsspezifischen regul\u00e4ren Ausdr\u00fccken auf der Zwischenablage-Payload an. Wenn eine \u00dcbereinstimmung gefunden wird, wird die abgefangene Adresse \u00fcber eine mit dem in der Konfiguration eingebetteten API-Schl\u00fcssel authentifizierte Anfrage an das Angreifer-Backend \u00fcbermittelt.<\/span><span data-contrast=\"auto\"> Das Backend antwortet mit einer Ersatzadresse, die speziell auf das \u00fcbermittelte Original zugeschnitten ist. Diese Ersatzadresse wird zur\u00fcck in die Zwischenablage geschrieben und \u00fcberschreibt die legitime Adresse, bevor das Opfer den Inhalt einf\u00fcgen kann.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Tests mit einem rekonstruierten Backend-Client \u2013 erstellt mithilfe der erneuten Implementierung des Anfrageformats und der Antwortdekodierungslogik der Erweiterung in Python \u2013 ergaben ein aufschlussreiches Verhaltensprofil:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<ul>\n<li><b><span data-contrast=\"auto\">Bitcoin<\/span><\/b><b><span data-contrast=\"auto\"> (BTC), Ethereum, Bitcoin Cash, Ripple und Dash: <\/span><\/b><span data-contrast=\"auto\">Jeder \u00fcbermittelten Adresse wird eine eindeutige, vom Angreifer kontrollierte Adresse zugeordnet. Wenn dieselbe Ausgangsadresse erneut \u00fcbermittelt wird, wird dieselbe Ersatzadresse zur\u00fcckgegeben. Dies deutet auf eine serverseitig verwaltete, deterministische Eins-zu-Eins-Zuordnung hin.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Solana:<\/span><\/b><span data-contrast=\"auto\"> Alle \u00fcbermittelten Adressen f\u00fchren auf eine einzige Angreiferadresse zur\u00fcck, was darauf hindeutet, dass die opferspezifische Zuordnungsfunktion selektiv nach Blockchain implementiert ist.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2><span class=\"TextRun SCXW166026346 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SpellingErrorV2Themed SCXW166026346 BCX0\" data-ccp-parastyle=\"heading 2\">Analyse der Kryptow\u00e4hrungs-Wallets des Angreifers<\/span><\/span><span class=\"EOP Selected SCXW166026346 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">Mithilfe der Codeausschnitte aus der Web-Erweiterung zum Abrufen von Ersatzadressen wurde ein Python-Skript erstellt, das die Wallet-Adressen der Angreifer programmatisch extrahiert. Die Payload wurde auf der Grundlage des Angreifer-Codes erstellt, wobei der Codeausschnitt &#8220;get replacement address&#8221; direkt daraus \u00fcbernommen wurde. Auch die Angreiferlogik zur Dekodierung der vom C2-Server empfangenen Daten wurde f\u00fcr das Skript unver\u00e4ndert \u00fcbernommen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Anschlie\u00dfend wurde das Skript mit einigen Testadressen von Bitcoin-Wallets (BTC) ausgef\u00fchrt. Dabei zeigte sich, dass f\u00fcr jede \u00fcbertragene Bitcoin-Adresse eine eindeutige Bitcoin-Adresse als Antwort zur\u00fcckgegeben wurde und dass es sich bei allen zur\u00fcckgegebenen Adressen um g\u00fcltige BTC-Wallets handelte. Dies deutet darauf hin, dass der Angreifer f\u00fcr jede \u00fcbermittelte BTC-Adresse dynamisch eine neue Wallet generiert, die zu der jeweiligen Eingabeadresse passt. Zudem wurde bei erneuter Eingabe derselben Adresse wieder dieselbe BTC-Adresse zur\u00fcckgegeben. Damit ist best\u00e4tigt, dass <\/span><b><span data-contrast=\"auto\">jede BTC-Adresse eines Opfers deterministisch einer einzigen speziellen und vom Angreifer kontrollierten Adresse zugeordnet wird<\/span><\/b><span data-contrast=\"auto\">. Einige der Angreifer-Wallets enthielten Guthaben, andere waren hingegen leer. Da aber die Gesamtzahl der Angreifer-Wallets unbekannt ist, l\u00e4sst sich nur schwer zuverl\u00e4ssig absch\u00e4tzen, wie viel Kryptow\u00e4hrung insgesamt gestohlen wurde.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Das gleiche Verhalten zeigt sich bei Ethereum, wo f\u00fcr jede eingegebene Wallet-Adresse eine unterschiedliche Adresse zur\u00fcckgegeben wurde. Interessanterweise wurde bei Tests mit Solana-Adressen unabh\u00e4ngig von der Zahl unterschiedlicher Eingaben stets nur eine einzige Adresse zur\u00fcckgegeben. Das l\u00e4sst darauf schlie\u00dfen, dass der Angreifer die Funktion der adressenspezifischen Zuordnung nur f\u00fcr bestimmte Kryptow\u00e4hrungen implementiert hat, w\u00e4hrend bei anderen auf eine einzige statische Drop-Wallet zur\u00fcckgegriffen wird. Da die Solana-Adresse f\u00fcr alle Opfer die gleiche ist, ist hier ein deutlicher Anstieg des Guthabens zu erkennen. Zudem stellte sich heraus, dass bei einer der aufgedeckten Ethereum-Adressen Guthaben im Wert von etwa 1902 US-Dollar hinterlegt waren.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Zusammenfassend l\u00e4sst sich sagen, dass <strong>Bitcoin, Ethereum, Bitcoin Cash, Ripple und Dash<\/strong> zu den <strong>Kryptow\u00e4hrungen<\/strong> geh\u00f6ren, f\u00fcr die pro Opfer individuelle Wallet-Adressen generiert werden.<\/span><\/p>\n<figure id=\"attachment_232098\" aria-describedby=\"caption-attachment-232098\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232098\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1024x455.png\" alt=\"Abb. 13: Die Payload wurde mithilfe des Angreifercodes erstellt. \" width=\"1024\" height=\"455\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1024x455.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-300x133.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-768x342.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1536x683.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-205x91.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232098\" class=\"wp-caption-text\"><em>Abb. 13: Die Payload wurde mithilfe des Angreifercodes erstellt.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232113\" aria-describedby=\"caption-attachment-232113\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232113\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1024x426.png\" alt=\"Abb. 14: Aus dem Angreifer-Code \u00fcbernommener Code-Ausschnitt zum Abrufen von Ersatzadressen. \" width=\"1024\" height=\"426\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1024x426.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-300x125.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-768x319.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1536x638.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-205x85.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232113\" class=\"wp-caption-text\"><em>Abb. 14: Aus dem Angreifer-Code \u00fcbernommener Codeausschnitt zum Abrufen von Ersatzadressen.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232128\" aria-describedby=\"caption-attachment-232128\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232128\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1024x353.png\" alt=\"Abb. 15: Die Angreifer-Logik zur Dekodierung der vom C2 empfangenen Daten wurde ebenfalls implementiert. \" width=\"1024\" height=\"353\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1024x353.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-300x103.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-768x265.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1536x530.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-205x71.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232128\" class=\"wp-caption-text\">Abb. 15: Die Angreifer-Logik zur Dekodierung der vom C2 empfangenen Daten wurde ebenfalls implementiert.<\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW94149359 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW94149359 BCX0\">Ausf\u00fchrung<\/span><span class=\"NormalTextRun SCXW94149359 BCX0\"> des Skripts mit Testadressen f\u00fcr Bitcoin-Wallets<\/span><\/span><\/p>\n<figure id=\"attachment_232143\" aria-describedby=\"caption-attachment-232143\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232143\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1024x977.png\" alt=\"Abb. 16: F\u00fcr jede Bitcoin-Adresse wurde eine eindeutige Bitcoin-Adresse zur\u00fcckgegeben. Alle Adressen sind g\u00fcltige BTC-Wallet-Adressen. \" width=\"1024\" height=\"977\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1024x977.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-300x286.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-768x733.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1536x1466.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-135x129.png 135w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-24x24.png 24w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM.png 1670w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232143\" class=\"wp-caption-text\"><em>Abb. 16: F\u00fcr jede Bitcoin-Adresse wurde eine eindeutige Bitcoin-Adresse zur\u00fcckgegeben. Alle Adressen sind g\u00fcltige BTC-Wallet-Adressen.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232161\" aria-describedby=\"caption-attachment-232161\" style=\"width: 992px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232161 size-full\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM.png\" alt=\"Abb. 17: Auch f\u00fcr Ethereum wurden eindeutige Adressen zur\u00fcckgegeben.\" width=\"992\" height=\"966\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM.png 992w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-300x292.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-768x748.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-132x129.png 132w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-24x24.png 24w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-48x48.png 48w\" sizes=\"auto, (max-width: 992px) 100vw, 992px\" \/><figcaption id=\"caption-attachment-232161\" class=\"wp-caption-text\"><em>Abb. 17: Auch f\u00fcr Ethereum wurden eindeutige Adressen zur\u00fcckgegeben.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232176\" aria-describedby=\"caption-attachment-232176\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232176\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-1024x766.png\" alt=\"Abb. 18: Ausf\u00fchrung des Skripts zur \u00dcberpr\u00fcfung von Solana-Testadressen. \" width=\"1024\" height=\"766\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-1024x766.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-300x224.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-768x575.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-172x129.png 172w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM.png 1064w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232176\" class=\"wp-caption-text\">Abb. 18: Ausf\u00fchrung des Skripts zur \u00dcberpr\u00fcfung von Solana-Testadressen.<\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW7609193 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW7609193 BCX0\">Zum Gl\u00fcck f\u00fcr Solana erhalten wir dort immer nur eine Adresse zur\u00fcck, selbst wenn mehrere Adressen eingegeben werden. <\/span><\/span><span class=\"TextRun SCXW7609193 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun ContextualSpellingAndGrammarErrorV2Themed SCXW7609193 BCX0\">Das zeigt, dass der Angreifer die Funktion zur Adresszuweisung nur bei bestimmten Kryptow\u00e4hrungen implementiert hat.<\/span><\/span><span class=\"EOP Selected SCXW7609193 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<figure id=\"attachment_232191\" aria-describedby=\"caption-attachment-232191\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232191\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-1024x401.png\" alt=\"Abb. 19: Hier ist ein Anstieg des Guthabens zu erkennen.\" width=\"1024\" height=\"401\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-1024x401.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-768x301.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-205x80.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM.png 1250w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232191\" class=\"wp-caption-text\"><em>Abb. 19: Hier ist ein Anstieg des Guthabens zu erkennen.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232206\" aria-describedby=\"caption-attachment-232206\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232206\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-1024x580.png\" alt=\"Abb. 20: Unter der ETH-Adresse befanden sich 1902\u00a0US-Dollar. \" width=\"1024\" height=\"580\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-1024x580.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-300x170.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-768x435.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-205x116.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM.png 1310w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232206\" class=\"wp-caption-text\"><em>Abb. 20: Unter der ETH-Adresse befanden sich 1902\u00a0US-Dollar.<\/em><\/figcaption><\/figure>\n<h3><span class=\"TextRun SCXW154641437 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\">Technische<\/span><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\"> Analyse einer <\/span><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\">.net-Datei (Installationsprogramm der Erweiterung)<\/span><\/span><span class=\"EOP Selected SCXW154641437 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<figure id=\"attachment_232222\" aria-describedby=\"caption-attachment-232222\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232222 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-1024x817.png\" alt=\"Abb. 21: &quot;BaseZipInstaller&quot; ist ein unsigniertes .NET-Installationsprogramm.\" width=\"1024\" height=\"817\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-1024x817.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-300x239.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-768x613.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-162x129.png 162w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232222\" class=\"wp-caption-text\"><em>Abb. 21: &#8220;BaseZipInstaller&#8221; ist ein unsigniertes .NET-Installationsprogramm.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232237\" aria-describedby=\"caption-attachment-232237\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232237 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-1024x485.png\" alt=\"Abb. 22: Gespeicherte Konfiguration in DnSpy.\" width=\"1024\" height=\"485\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-1024x485.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-300x142.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-768x364.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-205x97.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM.png 1274w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232237\" class=\"wp-caption-text\"><em>Abb. 22: Gespeicherte Konfiguration in DnSpy.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">In der Malware ist eine vollst\u00e4ndige JSON-Konfigurationsdatei direkt in die Bin\u00e4rdatei eingebettet, sodass f\u00fcr die Ersteinrichtung keine Daten aus externen Quellen abgerufen werden m\u00fcssen.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die integrierte Konfiguration enth\u00e4lt wichtige Details wie API-Schl\u00fcssel, die URL des Backend-Servers, die ins Visier genommenen Wallet-Erweiterungen sowie das vollst\u00e4ndige Manifest der Erweiterung mit umfassenden Berechtigungen.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232252\" aria-describedby=\"caption-attachment-232252\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232252\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-1024x404.png\" alt=\"Abb. 23: Die Hauptfunktion, bei der die Ausf\u00fchrung beginnt. \" width=\"1024\" height=\"404\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-1024x404.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-768x303.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232252\" class=\"wp-caption-text\"><em>Abb. 23: Die Hauptfunktion, bei der die Ausf\u00fchrung beginnt.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span class=\"TextRun SCXW122609328 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW122609328 BCX0\">Das Installationsprogramm ruft von einem Remote-Server (google-services[.]cc\/base[.]zip) ein ZIP-Archiv ab und \u00fcberpr\u00fcft es. Das Archiv dient als prim\u00e4re Payload f\u00fcr die Installation der sch\u00e4dlichen Browsererweiterung und stellt den \u00dcbergang von der Erstinfektion zur Kompromittierung auf Browserebene dar.<\/span><\/span><span class=\"EOP Selected SCXW122609328 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232267\" aria-describedby=\"caption-attachment-232267\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232267 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-1024x367.png\" alt=\"Abb. 24: An diesem Ort im System wird die Erweiterung mit Dateien installiert, die als \" width=\"1024\" height=\"367\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-1024x367.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-300x107.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-768x275.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-205x73.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM.png 1284w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232267\" class=\"wp-caption-text\"><em>Abb. 24: An diesem Ort im System wird die Erweiterung mit Dateien installiert, die als &#8220;base.zip&#8221; heruntergeladen wurden.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232282\" aria-describedby=\"caption-attachment-232282\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232282\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-1024x460.png\" alt=\"Abb. 25: DnSpy mit der Liste der angegriffenen Browser.\" width=\"1024\" height=\"460\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-1024x460.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-300x135.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-768x345.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-205x92.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232282\" class=\"wp-caption-text\"><em>Abb. 25: DnSpy mit der Liste der angegriffenen Browser.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Das Installationsprogramm durchsucht Chromium-basierte Browser wie Chrome, Edge, Opera und Brave, und ermittelt dabei die auf dem System verf\u00fcgbaren Benutzerprofile.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Bei jedem erkannten Profil beendet die Malware zwangsweise den Browserprozess, um Konfigurationsdateien sicher und ohne St\u00f6rungen zu \u00e4ndern. <\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Anschlie\u00dfend injiziert sie die sch\u00e4dliche Erweiterung, indem sie &#8220;Secure Preferences&#8221; und &#8220;Preferences&#8221; manipuliert, sodass die Erweiterung ohne Benutzereingriff geladen werden kann.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<div class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-image-missing-alt aligncenter wp-image-232298 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-1024x637.png\" alt=\"weiterer Code\" width=\"1024\" height=\"637\" data-warning=\"Missing alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-1024x637.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-300x187.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-768x478.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-205x127.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM.png 1280w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/div>\n<ul>\n<li><span data-contrast=\"auto\">Die Malware erkennt die Installationspfade der Browser durch die Abfrage der Standard-Systemverzeichnisse und findet dadurch die Benutzerdaten-Ordner von Chrome, Edge, Opera und Brave. <\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie listet systematisch Browserprofile auf und sucht gezielt nach dem Vorhandensein der Datei &#8220;Secure Preferences&#8221;, in der wichtige Konfigurations- und Erweiterungsdaten der Browser gespeichert sind.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Durch die gezielte Auswahl von Profilen mit &#8220;Secure Preferences&#8221; stellt die Malware sicher, dass nur g\u00fcltige Browserumgebungen ver\u00e4ndert werden, was die Erfolgsquote beim Einschleusen der Erweiterung erh\u00f6ht.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232313\" aria-describedby=\"caption-attachment-232313\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-232313 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-1024x208.png\" alt=\"Hier ist das &quot;WriteFile&quot;-Ereignis in den Secure Preferences-Dateien von Chrome und Edge zu sehen, bei dem die Details der heruntergeladenen Erweiterung in die Konfigurationsdateien geschrieben werden.\" width=\"1024\" height=\"208\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-1024x208.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-300x61.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-768x156.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-205x42.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM.png 1140w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232313\" class=\"wp-caption-text\"><em>Hier ist das &#8220;WriteFile&#8221;-Ereignis in den Secure Preferences-Dateien von Chrome und Edge zu sehen, bei dem die Details der heruntergeladenen Erweiterung in die Konfigurationsdateien geschrieben werden.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232328\" aria-describedby=\"caption-attachment-232328\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232328\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-1024x403.png\" alt=\"Abb. 27: Angreiferlogik zum erneuten Signieren der Secure Preferences-Dateien.\" width=\"1024\" height=\"403\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-1024x403.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-768x302.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM.png 1276w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232328\" class=\"wp-caption-text\"><em>Abb. 27: Angreiferlogik zum erneuten Signieren der Secure Preferences-Dateien.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Die Malware liest und ver\u00e4ndert die Secure Preferences-Datei des Browsers, \u00fcber die die installierten Erweiterungen und deren Vertrauensstatus kontrolliert werden.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Die Schadsoftware injiziert die sch\u00e4dliche Erweiterung in die Konfiguration und versucht, die ge\u00e4nderten Daten neu zu signieren, damit sie die Integrit\u00e4tspr\u00fcfungen des Browsers bestehen.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Anschlie\u00dfend wird die ver\u00e4nderte Konfiguration wieder auf die Festplatte geschrieben. So wird sichergestellt, dass die Erweiterung automatisch geladen wird und auch nach einem Neustart des Browsers erhalten bleibt.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232343\" aria-describedby=\"caption-attachment-232343\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232343\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-1024x156.png\" alt=\"Abb. 27B: Der Erweiterungspfad wird in die Secure Preferences-Datei von Chrome geschrieben.\" width=\"1024\" height=\"156\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-1024x156.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-300x46.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-768x117.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-205x31.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM.png 1158w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232343\" class=\"wp-caption-text\"><em>Abb. 27B: Der Erweiterungspfad wird in die Secure Preferences-Datei von Chrome geschrieben.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232358\" aria-describedby=\"caption-attachment-232358\" style=\"width: 968px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-232358\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM.png\" alt=\"Abb. 28: Die Logik zur Manipulation der Abwehrma\u00dfnahmen des Brave-Browsers. \" width=\"968\" height=\"560\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM.png 968w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-300x174.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-768x444.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-205x119.png 205w\" sizes=\"auto, (max-width: 968px) 100vw, 968px\" \/><figcaption id=\"caption-attachment-232358\" class=\"wp-caption-text\"><em>Abb. 28: Die Logik zur Manipulation der Abwehrma\u00dfnahmen des Brave-Browsers.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Bei Browsern wie Brave und Opera injiziert die Malware die sch\u00e4dliche Erweiterung direkt in die Konfiguration des Browsers, indem sie Eintr\u00e4ge im Abschnitt &#8220;extensions.settings&#8221; (bzw. &#8220;extensions.opsettings&#8221;) hinzuf\u00fcgt.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Zudem werden die Integrit\u00e4ts-relevanten Felder (protection.macs) ver\u00e4ndert, damit die injizierte Erweiterung vom Browser als vertrauensw\u00fcrdig eingestuft wird.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Au\u00dferdem versucht die Malware, programmatisch den Entwicklermodus zu aktivieren, wodurch entpackte Erweiterungen mit weniger Einschr\u00e4nkungen ausgef\u00fchrt werden k\u00f6nnen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232373\" aria-describedby=\"caption-attachment-232373\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232373\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-1024x704.png\" alt=\"Abb. 29: Die Angreifer-Logik zum Abruf der Ger\u00e4te-ID, die zur weiteren Berechnung der Integrit\u00e4tswerte verwendet wird. \" width=\"1024\" height=\"704\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-1024x704.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-300x206.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-768x528.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-188x129.png 188w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM.png 1272w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232373\" class=\"wp-caption-text\"><em>Abb. 29: Die Angreifer-Logik zum Abruf der Ger\u00e4te-ID, die zur weiteren Berechnung der Integrit\u00e4tswerte verwendet wird.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Die Malware versucht, die Integrit\u00e4tssignaturen des Browsers neu zu berechnen, indem sie neue MAC-Werte (Message Authentication Code) f\u00fcr die ge\u00e4nderte Secure Preferences-Datei generiert.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie verwendet systemspezifische Kennungen (z.\u00a0B. die Maschinen-SID) zusammen mit einem Startwert, um den internen Verifizierungsmechanismus von Chrome nachzubilden.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Durch die Neuberechnung der Integrit\u00e4tspr\u00fcfungen (MACs und Super_MAC) versucht die Malware, ihre unbefugten \u00c4nderungen gegen\u00fcber dem Browser als legitim erscheinen zu lassen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232388\" aria-describedby=\"caption-attachment-232388\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232388\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-1024x507.png\" alt=\"Abb. 30: Die Selbstl\u00f6schungslogik.\" width=\"1024\" height=\"507\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-1024x507.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-300x149.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-768x380.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-205x102.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM.png 1252w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232388\" class=\"wp-caption-text\"><em>Abb. 30: Die Selbstl\u00f6schungslogik.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Die Malware verf\u00fcgt \u00fcber einen Selbstl\u00f6schmechanismus, der die ausf\u00fchrbare Installationsdatei nach erfolgreicher Ausf\u00fchrung entfernt.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Sie startet einen versteckten Eingabeaufforderungsprozess, der die Ausf\u00fchrung kurz verz\u00f6gert, um die Originaldatei anschlie\u00dfend von der Festplatte zu l\u00f6schen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">Fazit<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">Diese Kampagne veranschaulicht eindrucksvoll, in welche Richtung sich der Kryptodiebstahl an Endverbrauchern entwickelt. Der Angreifer hat die \u00e4lteste und einfachste Kategorie von Krypto-Malware\u00a0\u2013 den &#8220;Clipper&#8221;\u00a0\u2013 genutzt und drei ihrer gr\u00f6\u00dften Schwachstellen still und leise aufgewertet. So wurden statische Angreiferadressen durch serverseitige, opferspezifische Zuweisungen ersetzt. Anf\u00e4llige, fest codierte Command-and-Control-Domains wurden durch eine Blockchain-basierte Namensaufl\u00f6sung ersetzt, die der Angreifer mit einer einzigen Transaktion rotieren lassen kann. Zudem wurde der anf\u00e4llige Dropper durch eine Chromium-Erweiterung ersetzt, die direkt in der vertrauensw\u00fcrdigsten Anwendung des Benutzers ausgef\u00fchrt wird und unter der Integrit\u00e4tssignatur des Browsers geladen wird.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\"><strong>McAfee wird diese Kampagne und die damit verbundene Infrastruktur weiterhin im Auge behalten.<\/strong> Unsere Kunden sind durch bestehende Erkennungsma\u00dfnahmen gesch\u00fctzt und profitieren von telemetriebasierten Updates, sodass neue Varianten und ge\u00e4nderte Infrastrukturen erkannt werden.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun MacChromeBold SCXW61108569 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW61108569 BCX0\" data-ccp-parastyle=\"heading 1\">Kompromittierungsindikatoren<\/span><\/span><span class=\"EOP Selected SCXW61108569 BCX0\" data-ccp-props=\"{\"> (IOC)<\/span><\/h2>\n<table style=\"font-weight: 400;\" data-tablestyle=\"MsoNormalTable\" data-tablelook=\"1184\" aria-rowcount=\"8\">\n<tbody>\n<tr aria-rowindex=\"1\">\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Typ<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Kategorie<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Wert<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"2\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">SHA-256<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">.NET-Installationsprogramm (BaseZipInstaller)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">2735e12030c195fb5454e4736c51b55b59664b93cae9f4bd5317afcd9c2af0bf<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">053620962047f50a91c6e8d1a6519eccc41fab51473f033086b4d816abe8bcb0<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"3\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">SHA-256<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Mit Golang kompilierte Installationsvariante<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"auto\">11be4c47ff049322de41743f62544cafd32d67e24ad653b7ebedf8ebd63e0962\u2003\u2003<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"auto\">1432393691b415d0cd4680d9cee73e60896fbe63300d9f0355c96e91817e4b1d\u2003\u2003<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"4\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">URL<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Payload-\u00dcbertragung<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">hxxps:\/\/google-services[.]cc\/base[.]zip<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"5\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Domain<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Command-and-Control (\u00fcber Smart Contract aufgel\u00f6st)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">devops-offensive[.]cc<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">Zebregts[.]com<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"6\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">BTC-Wallet<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Kryptow\u00e4hrungs-Wallet<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">3JvDBvKbS6YYMKjV3R9e9Zfd67f467fNLy<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">1BbhVBxpniuZuAL1gGZnEMdQhmz9JGWpyT<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">3AcPNVh7NyESwX3ECymy3rkdH4Ke2c26Tj<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">1BVTrB47erypG3tevi1U9Fv6BbNUBEiuiX<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"7\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Artefakt<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Sideloading-Ziel<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Secure Preferences-Datei von Chromium (Chrome-, Edge-, Brave- und Opera-Profile)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"8\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Dateien der Erweiterung<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">manifest.json<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">crypto-patterns.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">Interceptor.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">content-script.j<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">cache.js<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">domain-resolver.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">service-worker.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">api-client.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">ed2599d6a8f30d5eaf14ad7f855aece0acdf7efa4a148eb18e4d9f0d8e2cd90c<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">daf82c67e8e5df6bbd5370172ac9374aa7dce48af05496e8ec3dba7b602c619b<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">6eb2f07265dd95cacd39dfcf0705786b97f3e173cf4e9b3dfe7bad141c9a9dd5<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">a2ffdbedc5c9f5400a2b1cf5d35f5ec1df06a74d0345f1035bcf75d36ed73e01<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">eb84ba4a0cd95655a021865d4fec93ae3393f86cc9848810ed0b49035b1c5e2c<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">6aaba685669d779ef8be8f7f4231096cfafd0ef386f3897c5e2106c177724fc8<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">2599064901308a97540af29197ed0b38702bbee38d6dbbfa61cf9eb5878353f3<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">ab450927b37e1b68e2be68832c354ac600e86e2545a904d4ca0ea283f2600cc2<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Verfasst von Neil Tyagi Zusammenfassung\u00a0 McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen kurz&#8230;<\/p>\n","protected":false},"author":695,"featured_media":209106,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[11944],"tags":[16946,16951,16947,16948,16949,16945,13117,12955,16950],"coauthors":[16762],"class_list":["post-232797","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internet-security","tag-bedrohungsakteur","tag-bitcoin","tag-browser","tag-chromium","tag-erweiterung","tag-infektion","tag-kryptowahrung","tag-malware-de-de","tag-zwischenablage"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v25.4 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Still und heimlich ausgetauscht: Eine Kampagne mit &quot;Crypto Clipper&quot;-Erweiterung | McAfee-Blog<\/title>\n<meta name=\"description\" content=\"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Still und heimlich ausgetauscht: Eine Kampagne mit &quot;Crypto Clipper&quot;-Erweiterung | McAfee-Blog\" \/>\n<meta property=\"og:description\" content=\"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\" \/>\n<meta property=\"og:site_name\" content=\"McAfee-Blog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/McAfee\/\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/McAfee\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-08T11:01:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"600\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"McAfee Labs\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@McAfee_Labs\" \/>\n<meta name=\"twitter:site\" content=\"@McAfee\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"McAfee Labs\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"20 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\"},\"author\":{\"name\":\"McAfee Labs\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad\"},\"headline\":\"Still und heimlich ausgetauscht: Eine Kampagne mit &#8220;Crypto Clipper&#8221;-Erweiterung\",\"datePublished\":\"2026-07-08T11:01:18+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\"},\"wordCount\":4010,\"publisher\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"keywords\":[\"Bedrohungsakteur\",\"Bitcoin\",\"Browser\",\"Chromium\",\"Erweiterung\",\"Infektion\",\"Kryptow\u00e4hrung\",\"malware\",\"Zwischenablage\"],\"articleSection\":[\"Internet-Sicherheit\"],\"inLanguage\":\"de-DE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\",\"name\":\"Still und heimlich ausgetauscht: Eine Kampagne mit \\\"Crypto Clipper\\\"-Erweiterung | McAfee-Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"datePublished\":\"2026-07-08T11:01:18+00:00\",\"description\":\"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"width\":600,\"height\":400},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Internet-Sicherheit\",\"item\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Still und heimlich ausgetauscht: Eine Kampagne mit &#8220;Crypto Clipper&#8221;-Erweiterung\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#website\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/\",\"name\":\"McAfee Blog\",\"description\":\"News zum Thema Internetsicherheit\",\"publisher\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization\",\"name\":\"McAfee\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png\",\"width\":1286,\"height\":336,\"caption\":\"McAfee\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/McAfee\/\",\"https:\/\/x.com\/McAfee\",\"https:\/\/www.linkedin.com\/company\/mcafee\/\",\"https:\/\/www.youtube.com\/McAfee\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad\",\"name\":\"McAfee Labs\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/image\/af947d76ffbef8521094b476cf8050c3\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg\",\"caption\":\"McAfee Labs\"},\"description\":\"McAfee Labs is one of the leading sources for threat research, threat intelligence, and cybersecurity thought leadership. See our blog posts below for more information.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/company\/mcafee\/\",\"https:\/\/www.facebook.com\/McAfee\/\",\"https:\/\/x.com\/McAfee_Labs\"],\"url\":\"https:\/\/www.mcafee.com\/blogs\/de-de\/author\/mcafee-labs\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Still und heimlich ausgetauscht: Eine Kampagne mit \"Crypto Clipper\"-Erweiterung | McAfee-Blog","description":"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"og_locale":"de_DE","og_type":"article","og_title":"Still und heimlich ausgetauscht: Eine Kampagne mit \"Crypto Clipper\"-Erweiterung | McAfee-Blog","og_description":"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.","og_url":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/","og_site_name":"McAfee-Blog","article_publisher":"https:\/\/www.facebook.com\/McAfee\/","article_author":"https:\/\/www.facebook.com\/McAfee\/","article_published_time":"2026-07-08T11:01:18+00:00","og_image":[{"width":600,"height":400,"url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","type":"image\/jpeg"}],"author":"McAfee Labs","twitter_card":"summary_large_image","twitter_creator":"@McAfee_Labs","twitter_site":"@McAfee","twitter_misc":{"Written by":"McAfee Labs","Est. reading time":"20 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#article","isPartOf":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/"},"author":{"name":"McAfee Labs","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad"},"headline":"Still und heimlich ausgetauscht: Eine Kampagne mit &#8220;Crypto Clipper&#8221;-Erweiterung","datePublished":"2026-07-08T11:01:18+00:00","mainEntityOfPage":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/"},"wordCount":4010,"publisher":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage"},"thumbnailUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","keywords":["Bedrohungsakteur","Bitcoin","Browser","Chromium","Erweiterung","Infektion","Kryptow\u00e4hrung","malware","Zwischenablage"],"articleSection":["Internet-Sicherheit"],"inLanguage":"de-DE"},{"@type":"WebPage","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/","url":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/","name":"Still und heimlich ausgetauscht: Eine Kampagne mit \"Crypto Clipper\"-Erweiterung | McAfee-Blog","isPartOf":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage"},"thumbnailUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","datePublished":"2026-07-08T11:01:18+00:00","description":"McAfee+\u2122 Advanced Threat Research hat eine aktive Kampagne mit Browser-Erweiterungen identifiziert, bei der Wallet-Adressen unbemerkt ersetzt werden, um Kryptow\u00e4hrung zu stehlen.","breadcrumb":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/"]}]},{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#primaryimage","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","width":600,"height":400},{"@type":"BreadcrumbList","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/krypto-clipper-wallet-austausch-browser-erweiterung-malware\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.mcafee.com\/blogs\/de-de\/"},{"@type":"ListItem","position":2,"name":"Internet-Sicherheit","item":"https:\/\/www.mcafee.com\/blogs\/de-de\/internet-security\/"},{"@type":"ListItem","position":3,"name":"Still und heimlich ausgetauscht: Eine Kampagne mit &#8220;Crypto Clipper&#8221;-Erweiterung"}]},{"@type":"WebSite","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#website","url":"https:\/\/www.mcafee.com\/blogs\/de-de\/","name":"McAfee Blog","description":"News zum Thema Internetsicherheit","publisher":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.mcafee.com\/blogs\/de-de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#organization","name":"McAfee","url":"https:\/\/www.mcafee.com\/blogs\/de-de\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/logo\/image\/","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png","width":1286,"height":336,"caption":"McAfee"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/McAfee\/","https:\/\/x.com\/McAfee","https:\/\/www.linkedin.com\/company\/mcafee\/","https:\/\/www.youtube.com\/McAfee"]},{"@type":"Person","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad","name":"McAfee Labs","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.mcafee.com\/blogs\/de-de\/#\/schema\/person\/image\/af947d76ffbef8521094b476cf8050c3","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg","caption":"McAfee Labs"},"description":"McAfee Labs is one of the leading sources for threat research, threat intelligence, and cybersecurity thought leadership. See our blog posts below for more information.","sameAs":["https:\/\/www.linkedin.com\/company\/mcafee\/","https:\/\/www.facebook.com\/McAfee\/","https:\/\/x.com\/McAfee_Labs"],"url":"https:\/\/www.mcafee.com\/blogs\/de-de\/author\/mcafee-labs\/"}]}},"_links":{"self":[{"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/posts\/232797","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/users\/695"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/comments?post=232797"}],"version-history":[{"count":7,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/posts\/232797\/revisions"}],"predecessor-version":[{"id":232811,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/posts\/232797\/revisions\/232811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/media\/209106"}],"wp:attachment":[{"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/media?parent=232797"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/categories?post=232797"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/tags?post=232797"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/de-de\/wp-json\/wp\/v2\/coauthors?post=232797"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}