Easy Money: Controlware CSIRT deckt eine auf Krypto-Themen basierende Social-Engineering-Operation auf

Im Januar 2026 wurde das Controlware Computer Security Incident Response Team (CSIRT) auf eine Cyberkampagne aufmerksam, bei der Angreifer mithilfe manipulierter YouTube-Videos die Remote-Access-Malware NetSupport RAT verbreiten. Im Fokus der Kampagne stehen vor allem Krypto-Interessierte – also Nutzer, die sich für Themen wie Trading, Blockchain-Infrastruktur oder Wallets interessieren. Dabei werden die Anwender verleitet, einen schädlichen Befehl auf ihrem eigenen System auszuführen.

Große Reichweite durch etablierte YouTube-Kanäle

Im Zuge unserer Untersuchung konnten wir mehrere Videos identifizieren, über die die Schadsoftware verbreitet wurde. Die beteiligten YouTube-Kanäle – die vermutlich von den Angreifern gekapert wurden – verfügen dabei über beachtliche Reichweiten, mit Abonnentenzahlen zwischen rund 10.000 und bis zu 4 Millionen. Ein auffälliges Merkmal der Kampagne ist dabei die Produktion der Videos selbst: Bei den Moderatoren handelt es sich um professionell KI-generierte Personen.

Social Engineering als zentraler Angriffsvektor

Statt klassischer Malware-Downloads setzen die Angreifer in dieser Kampagne auf raffiniertes Social Engineering: Die Nutzer führen den schädlichen Befehl letztlich selbst aus – im Glauben, damit eine legitime Funktion zu aktivieren.

Vollständige Analyse im Threat-Research-Bericht

Im vollständigen Threat-Report finden Sie eine detaillierte Analyse der Kampagne – von der Funktionsweise der Malware über die Struktur der Videos bis hin zur Infrastruktur hinter dem Angriff – sowie konkrete Handlungsempfehlungen für die Cyberabwehr.

Hier können Sie den Bericht mit allen technischen Details herunterladen.