Die Deklarationsfalle: Krypto-Drainers, die sich als europäische Steuerbehörden ausgeben

Betrüger verwenden gefälschte E-Mails von Steuerbehörden, um Krypto-Drainers einzusetzen. Erfahren Sie, wie die Deklarationsfalle funktioniert und wie Sie Ihre digitalen Assets schützen können.

Kryptowährungen sind nicht mehr nur etwas für Technikbegeisterte – sie werden Teil des finanziellen Alltags. Immer mehr Menschen investieren, immer mehr Unternehmen akzeptieren Krypto-Zahlungen, der Markt wächst und mit ihm die Zahl der Beteiligten.

Aber wo Geld ist, sind auch Betrüger am Werk, die neue Methoden entwickeln, um es zu stehlen. Sie wissen, dass das Ökosystem noch immer von Unklarheiten geprägt ist, insbesondere in Bezug auf Regulierung und Steuern. Und sie haben Wege gefunden, dies zu ihrem Vorteil zu nutzen.

Anfang 2025 begann Group-IB, eine Betrugskampagne in Europa zu verfolgen, bei der sich Betrüger als offizielle Steuerbehörden ausgeben und Nutzer dazu verleiten, ihnen Zugriff auf ihre Wallets zu gewähren. Diese Bedrohung richtet sich in erster Linie gegen Einwohner der Niederlande und gibt sich als Belastingdienst (die niederländische Steuerbehörde) und MijnOverheid aus – das offizielle Regierungsportal, über das Einwohner Zugriff auf persönliche Daten und E-Mails von Behörden erhalten. Vor kurzem hat sich der Umfang dieser Betrugsmasche ausgeweitet und richtet sich nun auch gegen Nutzer außerhalb der Niederlande. In diesem Blogbeitrag erklären wir, wie der Betrug funktioniert, wie er verbreitet wird und was ihn so überzeugend macht.

Wichtige Erkenntnisse aus dem Blogbeitrag

• Angreifer geben sich als europäische Steuerbehörden wie Belastingdienst aus, um Krypto-Besitzer ins Visier zu nehmen
• Die Opfer werden über E-Mails mit der Aufforderung zu dringenden Krypto-Steuererklärungen geködert
• Die Phishing-Websites imitieren offizielle Regierungsportale mit authentischem Design und Branding
• Zwei Angriffswege: Diebstahl von Seed-Phrasen oder Entleerung von Wallets über bösartige Smart-Contract-Transaktionen

Verbreitungsmethode

Die Reise des Opfers beginnt mit einer E-Mail, die scheinbar vom Belastingdienst oder MijnOverheid stammt und den Empfänger darüber informiert, dass er aufgrund neuer Steuerbestimmungen, die 2025 in Kraft treten, ein spezielles Formular für seine Krypto-Assets ausfüllen muss (Abbildung 1). Die Betrüger wenden Drucktaktiken an: Sie setzen kurze Fristen für das Ausfüllen des Formulars und drohen den Opfern mit Geldstrafen, wenn sie diesen nicht nachkommen.

Erwähnenswert ist, dass in den Niederlanden Krypto-Vermögenswerte zwar angegeben werden müssen, dies jedoch nicht in einem speziellen separaten Formular, sondern in der üblichen jährlichen Steuererklärung zu tun ist. Leider ist dies nicht jedem bekannt, und die Angreifer setzen darauf, dass die Menschen keine Geldstrafe riskieren wollen, wenn sie etwas falsch machen, und nutzen diese Angst aus. Die E-Mail enthält einen Link, über den das Opfer zur nächsten Stufe des Angriffs gelangt.

Deklarationsfalle

Sobald sich das Opfer auf der Phishing-Website befindet, sieht es eine Seite, die wie ein offizielles Regierungsportal aussieht (Abbildung 2). Das Design entspricht dem Stil der niederländischen Regierungsportale – Schriftarten, Layout, Farben und Logos. Es ahmt das Branding von MijnOverheid oder Belastingdienst nach und enthält gefälschte DigiD-Verweise, um authentischer zu wirken.

Der Besucher wird aufgefordert, eine Reihe persönlicher Daten einzugeben, darunter in der Regel:

• Vollständiger Name und Wohnadresse
• Geburtsdatum
• E-Mail-Adresse und Telefonnummer
• IBAN (Bankkontonummer)
• Wallet-Anbieter (z. B. MetaMask, Trust Wallet usw.)
• In einigen Fällen gibt es ein Feld, in dem das Opfer aufgefordert wird, den Wert der Krypto-Assets in seiner Wallet anzugeben (Abbildung 3).

Je nachdem, auf welches Phishing-Kit das Opfer gelangt, gibt es zwei Möglichkeiten, wie die Betrüger versuchen, Zugriff auf Krypto-Wallets zu erhalten.

Methode 1: Diebstahl der Seed-Phrase

Nach dem Ausfüllen der persönlichen Daten fordern einige Websites den Benutzer auf, die Seed-Phrase seiner Wallet einzugeben – 12 oder 24 Wörter (Abbildung 4). Dies wird als Standardschritt zum „Verbinden der Wallet” dargestellt, um Assets anzugeben.

In dem Moment, in dem die Seed-Phrase übermittelt wird

• wird sie direkt an einen Telegram-Bot (Abbildung 5) gesendet, der vom Angreifer kontrolliert wird (der Telegram-Token wird normalerweise in einer md4.php-Datei gespeichert).
• Sie kann auch an das Admin-Panel weitergeleitet werden.

Mit diesen 12 Wörtern kann der Angreifer den Zugriff auf die Wallet wiederherstellen – sofern diese auf einem Standard-Seed-Phrase-Modell basiert. Von dort aus dauert es nur Sekunden, um die Assets des Opfers zu entleeren.

 

Das Admin-Panel ist unter example[.]com/include_admin verfügbar (Abbildung 6).

Außerdem enthält diese Version des Phishing-Kits ein charakteristisches Skript namens check.js (96cdbb9f0456d0c46889ac322e434de40edf18974a7c887490c409779234a356), das für folgende Zwecke verwendet wird:

• Verhindern, dass die Seite gespeichert wird
• die Zurück-Navigation über die Rücktaste zu deaktivieren
• die Änderung der URL zu verhindern
• das Öffnen von Entwicklertools und die Größenänderung des Monitorfensters zu verhindern, um Inspektionsversuche zu erkennen – im Falle einer Erkennung wird der Inhalt der Seite gelöscht (Abbildung 7)

Dadurch bleibt die Phishing-Seite vor Inspektionen verborgen, was eine manuelle Analyse erschwert. Durch die aktive Blockierung von Debugging-Tools und grundlegenden Browserfunktionen verringern Angreifer die Wahrscheinlichkeit, entdeckt oder rückentwickelt zu werden.

Methode 2: Krypto-Drainer

In einer anderen Version des Phishing-Kits gehen die Betrüger noch einen Schritt weiter und implementieren die WalletConnect-Funktion (Abbildung 8), um nicht nur mit herkömmlichen Wallets, sondern auch mit Smart-Contract-Wallets zu interagieren, auf die über eine Seed-Phrase nicht zugegriffen werden kann. In diesem Fall verleiten sie die Benutzer dazu, bösartige Transaktionen zu unterzeichnen, anstatt Wiederherstellungsphrasen zu stehlen. Auf diese Weise können sie Benutzer von Wallets wie Safe, Argent oder Ambire angreifen, die sich nicht nur auf private Schlüssel, sondern auch auf Smart-Contract-Logik stützen.

Sobald das Opfer seine Wallet über WalletConnect verbindet, baut die Phishing-Website eine echte Sitzung zwischen der Wallet des Benutzers und der bösartigen dApp auf. Danach beginnt ein bösartiges Skript, Transaktionsanfragen an die Wallet des Opfers zu senden, die angeblich signiert werden müssen, um die Wallet zu verbinden und Assets gegenüber dem Belastingdienst anzugeben.

Es verwendet eine aktualisierte Version des Skripts wallet-connect.js, das ein bekannter Indikator für Websites ist, die mit Inferno Drainer in Verbindung stehen. Im Fall der Belastingdienst-Websites wird das Skript wallet-connect-v4.js (Hash:

5e73f708c447d1843ced8f884dc7f58a496f23a237955266bbf87b8977a04cce).

Außerdem ist die Logik zum Leeren von Konten in Skripten onboard.js implementiert.

(f8226ca8f41f616dc7773ba37d7b73197eb7674954597dbeda5ee8ed91f4e275) and the script, which is unique for each website, e.g., ba378635-89bf-43cd-955e-74d306dbe19c.js (1649ad550c63513e4b3f77e23ecac040890192c70381ea350d699162ba9626d9) is used for the website securedauth-no[.]su.

Wichtige Schritte des „Draining“:

• Das Opfer scannt einen QR-Code, um seine Wallet zu verbinden und „seine Assets anzugeben“. Nun wird eine Verbindung zwischen der Wallet des Opfers und einer bösartigen Website hergestellt.
• Das Inferno-Skript sendet eine Transaktions- oder Genehmigungsanfrage – oft als harmlose Aktion getarnt, wie beispielsweise die Überprüfung der Eigentumsrechte oder die Verbindung der Wallet.
• Sobald das Opfer dies genehmigt, wird das Konto leergeräumt.

Inferno funktioniert nach einem Drainer-as-a-Service-Modell. Einen detaillierten Bericht zu Inferno Drainer von Group-IB finden Sie hier.

Neben dem Abziehen der Assets des Opfers sammelt und versendet die Website auch personenbezogene Daten:

• Der Benutzer füllt das Formular auf einer Phishing-Seite aus
• globalScript.js (342336d738165a465820f98e730cc39aeacfb47f90d7c09e4ec66bf5312e7e6f) sammelt und validiert die Eingaben
• Wenn alle Felder ausgefüllt sind, ruft sie sendMainINFO() aus postman.js auf
• postman.js (de94e8790ca66cde0920b7dd4e7a32f400400275326e4918096316180ad93c74) sendet die Daten an das Backend des Angreifers (Abbildung 10)

Der Benutzer sieht einen gefälschten „Erfolgsbildschirm“ und wird zu Google weitergeleitet.

Fazit

In dieser Kampagne lässt sich die Entwicklung von Social Engineering auf der Grundlage von Versprechungen hin zu Social Engineering auf der Grundlage von Drohungen beobachten. Die Angreifer sind über „Airdrops“ und Belohnungsversprechen hinausgegangen, die die Nutzer dazu veranlassten, solche Angriffe mit Vorsicht zu betrachten. Stattdessen verfolgen sie nun einen komplexeren psychologischen Ansatz, indem sie sich als Regierungsbehörden und Steuerbehörden ausgeben, um ein Gefühl der Dringlichkeit und Angst zu erzeugen.

Angreifer nutzen die emotionale Notlage von Personen aus, wodurch diese weniger klar und rational denken können und möglicherweise ihre gesamten Kryptowährungsersparnisse verlieren.

Dies macht einmal mehr deutlich, dass technologiebasierte Abwehrmaßnahmen zwar wertvoll sind, es jedoch in einer sich ständig verändernden Bedrohungslandschaft nach wie vor von entscheidender Bedeutung ist, die psychologische Manipulation durch Angreifer durch Aufklärung und Sensibilisierung der Benutzer einzuschränken.

Empfehlungen

• Geben Sie Ihre Seed-Phrase niemals weiter. Keine Behörde wird Sie jemals danach fragen.
• Achten Sie auf den Absender Ihrer E-Mail. Überprüfen Sie die E-Mail-Adresse des Absenders auf eine offizielle Regierungsdomain und achten Sie auf Tippfehler oder zusätzliche Symbole und Buchstaben. Auch wenn die Absenderadresse gefälscht sein kann, machen sich Angreifer oft nicht die Mühe, dies zu tun
• Überprüfen Sie die URL sorgfältig, bevor Sie sensible Daten eingeben
• Machen Sie sich mit dem Verfahren vertraut. In den Niederlanden gibt es kein spezielles Formular für Kryptowährungen – diese werden im Rahmen Ihrer jährlichen Steuererklärung angegeben

Kompromittierungsindikatoren

mijnoverheid-nl[.]com

cryptoaangifteportaal[.]com

6rbcc[.]com

securedauth-nl[.]su

mijnaangifte-2025[.]com

belastingcryptotoeslagen[.]info

securedauth-no[.]su

nlweb-wetgeving[.]dnsrd[.]com

mijnoverheld-app[.]duckdns[.]org

25280-6588[.]s3[.]webspace[.]re

sheckautnl[.]com

digid-online[.]nl

clientennota-webnl[.]ddns[.]info

crypto-aangifte[.]mljnoverheldportaal[.]com

176-65-134-35[.]cprapid[.]com

66-63-187-130[.]cprapid[.]com

Quelle: Group-IB-Blog

---

Weitere Beiträge von Group-IB

Group-IB veröffentlicht neuen Hightech-Crime-Report – Europa im Visier, raffinierte Cyberangriffe (APTs) steigen um 58 %

Erfolg für INTERPOL und Group-IB: 32 Festnahmen bei Operation gegen Informationsdiebstahl in Asien

---