Bybit, die weltweit zweitgrößte Kryptowährungsbörse nach Handelsvolumen, berichtete, dass ihr Security Operations Center (SOC) Erkenntnisse über eine ausgefeilte, mehrstufige Malwarekampagne offengelegt hat, die macOS-Nutzer ins Visier nimmt, die nach „Claude Code“, einem KI-gestützten Entwicklungstool von Anthropic, suchen.
Der Bericht stellt eine der ersten bekannten Offenlegungen einer zentralisierten Krypto-Börse (CEX) über eine aktive Bedrohungskampagne dar, die Entwickler über Kanäle zur Entdeckung von KI-Tools ins Visier nimmt und die wachsende Rolle des Sektors in der Cybersicherheitsaufklärung an vorderster Front unterstreicht.
Erstmals im März 2026 identifiziert, nutzte die Kampagne Suchmaschinenoptimierung (SEO)-Poisoning, um eine bösartige Domain an die Spitze der Google-Suchergebnisse zu bringen. Nutzer wurden auf eine gefälschte Installationsseite umgeleitet, die so gestaltet war, dass sie legitimer Dokumentation stark ähnelt, und eine zweistufige Angriffskette auslöste, die auf das Abgreifen von Anmeldedaten, den Diebstahl von Krypto-Vermögenswerten und einen dauerhaften Systemzugriff abzielte.
Die erste Nutzlast, ausgeliefert über einen Mach-O-Dropper, setzte einen auf osascript basierenden Infostealer ein, der Merkmale aufwies, die bekannten AMOS- und Banshee-Varianten ähneln. Er führte eine mehrstufige Verschleierungssequenz aus, um sensible Daten zu extrahieren, darunter Browser-Anmeldedaten, macOS-Keychain-Einträge, Telegram-Sitzungen, VPN-Profile und Informationen zu Kryptowallets. Bybit-Forscher identifizierten zielgerichtete Zugriffsversuche auf mehr als 250 browserbasierte Wallet-Erweiterungen und mehrere Desktop-Wallet-Anwendungen.
Eine zweite Nutzlast führte eine C++-basierte Backdoor mit erweiterten Umgehungsfunktionen ein, darunter Sandbox-Erkennung und verschlüsselte Laufzeitkonfigurationen. Die Malware etablierte Persistenz über Systemagenten-Einträge und ermöglichte die Ausführung entfernter Befehle über HTTP-basiertes Polling, wodurch Angreifer eine anhaltende Kontrolle über kompromittierte Geräte erhielten.
Das SOC von Bybit nutzte KI-gestützte Workflows über den gesamten Zyklus der Malwareanalyse hinweg, beschleunigte die Reaktionszeit deutlich und hielt gleichzeitig die analytische Tiefe aufrecht. Erste Triage und Klassifizierung der Mach-O-Probe wurden innerhalb von Minuten abgeschlossen, wobei Modelle verhaltensbasierte Ähnlichkeiten zu bekannten Malware-Familien markierten.
KI-gestütztes Reverse Engineering und Kontrollflussanalyse reduzierten die benötigte Zeit für die tiefgehende Untersuchung der Backdoor der zweiten Stufe von geschätzten sechs bis acht Stunden auf unter 40 Minuten. Gleichzeitig identifizierten automatisierte Extraktions-Pipelines Kompromittierungsindikatoren (IOCs) – einschließlich Command-and-Control-Infrastruktur, Dateisignaturen und Verhaltensmuster – und ordneten sie etablierten Bedrohungsframeworks zu.
Diese Fähigkeiten ermöglichten die Implementierung von Erkennungsmaßnahmen noch am selben Tag. KI-gestützte Regelerstellung unterstützte die Entwicklung von Bedrohungssignaturen und Endpoint-Detection-Regeln, die von Analysten validiert wurden, bevor sie in Produktionsumgebungen ausgerollt wurden. KI-generierte Berichtsentwürfe verkürzten die Durchlaufzeit zusätzlich, sodass Threat-Intelligence-Ergebnisse etwa 70 % schneller als mit traditionellen Workflows finalisiert werden konnten.
„Als eine der ersten Krypto-Börsen, die diese Art von Malwarekampagne öffentlich dokumentiert, halten wir es für entscheidend, diese Erkenntnisse zu teilen, um die kollektive Verteidigung in der Branche zu stärken“, sagte David Zong, Head of Group Risk Control and Security bei Bybit. „Unser KI-gestütztes SOC ermöglicht es uns, in einem einzigen operativen Zeitfenster von der Erkennung zur vollständigen Sichtbarkeit der Kill Chain überzugehen. Was früher ein Team von Analysten über mehrere Schichten hinweg erforderte – Dekompilierung, IOC-Extraktion, Berichtsentwürfe, Regelentwicklung – wurde in einer einzigen Sitzung abgeschlossen, in der die KI die Schwerstarbeit übernahm und unsere Analysten Urteil und Validierung lieferten.“
Die Untersuchung deckte auch Social-Engineering-Taktiken auf, darunter gefälschte macOS-Passwortabfragen, die zur Validierung und Zwischenspeicherung von Nutzeranmeldedaten verwendet wurden. In einigen Fällen versuchten Angreifer, legitime Krypto-Wallet-Anwendungen wie Ledger Live und Trezor Suite durch trojanisierte Versionen zu ersetzen, die auf bösartiger Infrastruktur gehostet wurden.
Die Malware zielte auf eine breite Palette von Umgebungen ab, darunter Chromium-basierte Browser, Firefox-Varianten, Safari-Daten, Apple Notizen und lokale Dateiverzeichnisse, die häufig zur Speicherung sensibler Finanz- oder Authentifizierungsdaten verwendet werden.
Bybit identifizierte mehrere Domains und Command-and-Control-Endpunkte, die mit der Kampagne verbunden waren, die für die öffentliche Offenlegung entschärft wurden. Analysen deuten darauf hin, dass sich die Angreifer auf intermittierendes HTTP-Polling statt auf dauerhafte Verbindungen stützten, was die Erkennung erschwerte.
Der Vorfall spiegelt einen wachsenden Trend wider, bei dem Angreifer Entwickler über manipulierte Suchergebnisse ins Visier nehmen, insbesondere da KI-Tools zunehmend in den Mainstream vordringen. Entwickler bleiben Hochwertziele aufgrund ihres Zugriffs auf Codebasen, Infrastruktur und Finanzsysteme.
Bybit bestätigte, dass die bösartige Infrastruktur am 12. März identifiziert wurde und vollständige Analyse-, Eindämmungs- und Erkennungsmaßnahmen am selben Tag abgeschlossen waren. Die öffentliche Offenlegung erfolgte am 20. März zusammen mit detaillierten Hinweisen zur Erkennung.
#Bybit / #CryptoArk / #NewFinancialPlatform
Über Bybit
Bybit ist die weltweit zweitgrößte Kryptowährungsbörse nach Handelsvolumen und bedient eine globale Community von über 80 Millionen Nutzern. Gegründet im Jahr 2018, definiert Bybit Offenheit in der dezentralen Welt neu, indem ein einfacheres, offenes und gleichberechtigtes Ökosystem für alle geschaffen wird. Mit starkem Fokus auf Web3 arbeitet Bybit strategisch mit führenden Blockchain-Protokollen zusammen, um eine robuste Infrastruktur bereitzustellen und Innovationen On-Chain voranzutreiben. Bekannt für seine sichere Verwahrung, vielfältigen Marktplätze, intuitive Nutzererfahrung und fortschrittlichen Blockchain-Tools schlägt Bybit eine Brücke zwischen TradFi und DeFi und befähigt Builder, Kreative und Enthusiasten, das volle Potenzial von Web3 auszuschöpfen. Entdecken Sie die Zukunft der dezentralen Finanzen bei Bybit.com.
Für weitere Details zu Bybit besuchen Sie bitte Bybit Press
Für Medienanfragen kontaktieren Sie bitte: [email protected]
Für aktuelle Informationen folgen Sie bitte: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
