TONResolver, Malware

TONResolver: Malware nutzt Blockchain als unsichtbare Kommandozentrale

02.07.2026 - 10:25:13 | boerse-global.de

Die Schadsoftware TONResolver nutzt die TON-Blockchain zur Steuerung und stiehlt Zugangsdaten aus Browsern. Japans Hotelbranche ist das Hauptziel.

TON-Blockchain-Malware TONResolver: Neue Phishing-Welle trifft Japans Hotellerie
TONResolver - Abstrakte Blockchain mit Phishing-Haken und Malware-Symbolen, die auf japanische Hotellobby zielen. 02.07.2026 - Bild: über boerse-global.de

Betroffen ist vor allem die japanische Hotellerie.

TONResolver: Wie die Angriffskette funktioniert

Sicherheitsforscher von TrendAI Research, Microsoft und Trend Micro haben die Kampagne bereits im April und Mai 2026 beobachtet. Die Angreifer verschicken gezielte Phishing-Mails, die sich als Gästebewertungen oder Zimmerbeschwerden tarnen. Betreffzeilen wie „Wichtig: Anfrage zur Gästebewertung" sind typisch für die japanischsprachigen Nachrichten.

Der eigentliche Schadcode heißt TONResolver. Er gelangt auf die Systeme, wenn Empfänger auf Links oder Downloads in den Mails klicken. Die Angreifer nutzen dabei oft Benachrichtigungen von Terminplanungs-Tools sowie Google-Weiterleitungen, um Sicherheitsprotokolle wie SPF, DKIM und DMARC zu umgehen. Öffnet das Opfer eine ZIP-Datei, startet eine Kette von Befehlen über LNK-Dateien und PowerShell, die schließlich eine Node.js-basierte Schadsoftware installiert.

Blockchain als unsichtbare Kommandozentrale

Das Besondere an TONResolver: Die Malware nutzt die The Open Network (TON)-Blockchain als sogenannten „Dead Drop Resolver". Sie fragt bestimmte Smart Contracts auf der Blockchain ab, um die aktuelle Adresse ihrer Kommando- und Kontrollserver (C2) zu erhalten. Da diese Adressen in einem dezentralen Netzwerk gespeichert sind, können die Angreifer ihre Infrastruktur dynamisch aktualisieren. Herkömmliche Methoden wie das Sperren von Domains werden dadurch wirkungslos.

Die technische Analyse zeigt: Die Malware ruft über spezielle Programmierschnittstellen die C2-Domains ab und baut dann eine verschlüsselte Verbindung über WebSockets auf – geschützt unter anderem mit AES-256-CBC. Einmal installiert, sichert sich TONResolver über Registry-Einträge dauerhaft Zugriff auf das System. Ziel ist der Diebstahl von Zugangsdaten aus Chromium-basierten Browsern wie Chrome und Edge.

Anzeige

Moderne Phishing-Kampagnen nutzen psychologische Tricks und technische Innovationen wie Blockchains, um Sicherheitsfilter zu umgehen. Wie Sie diese manipulativen Taktiken entlarven und Ihre Belegschaft wirksam schützen, erfahren Sie in diesem kostenlosen Ratgeber. 7 psychologische Schwachstellen und Hacker-Methoden jetzt entdecken

Schutzmaßnahmen für die Hotellerie

Sicherheitsexperten empfehlen betroffenen Unternehmen, den Zugriff auf Blockchain-Domains einzuschränken und die Ausführung von Node.js-Anwendungen zu überwachen – besonders wenn sie aus lokalen Benutzerprofilen starten. Zudem sollten Hotels die Ausführung von PowerShell-Skripten blockieren und E-Mails von Drittanbieter-Terminplanern genau prüfen.

Weitere Gefahren: BEC-Plattform und WM-Betrug

Die Hotel-Kampagne ist nicht die einzige aktuelle Bedrohung. Cisco Talos entdeckte kürzlich ARToken, eine Plattform für Business-E-Mail-Compromise (BEC), die auf Microsoft-365-Konten abzielt. Der Dienst nutzt Device-Code-Phishing, um die Zwei-Faktor-Authentifizierung zu umgehen. Am 20. April 2026 wurde das Tool genutzt, um gefälschte Rechnungen zwischen einem Auftragnehmer und einem Biotech-Unternehmen zu versenden.

Anzeige

Ob Phishing-Wellen oder neue Gesetze zur IT-Sicherheit – Unternehmen stehen heute vor komplexen Herausforderungen beim Schutz ihrer digitalen Infrastruktur. Dieses Gratis-E-Book hilft Geschäftsführern dabei, aktuelle Bedrohungen zu verstehen und proaktive Sicherheitsmaßnahmen umzusetzen. Kostenlosen Cyber-Security-Report für Unternehmen herunterladen

Parallel dazu meldet Forcepoint X-Labs mehrere aktive Betrugsmaschen rund um die bevorstehende Fußball-Weltmeisterschaft. Kriminelle setzen auf Krypto-Wallet-Drainer, die sich als Stake.com ausgeben, Ticket-Phishing über manipulierte Domains wie seatgaek[.]com und gefälschte Lotteriegewinne. Eine weitere Gefahr: Die bösartige Browser-Erweiterung „Google Notes", die Kryptowährungsadressen in Chromium-Browsern manipuliert – ebenfalls über eine Blockchain-Technik namens EtherHiding.

de | wissenschaft | 69671043 |