In den letzten Jahren haben sich Kryptowährungsdiebstahloperationen weit über isolierte Phishing-Seiten und gefälschte NFT-Minting-Betrügereien hinaus entwickelt. Was einst hauptsächlich aus einzelnen Akteuren bestand, die bösartige Wallet-Verbindungsseiten betrieben, hat sich zunehmend zu einer strukturierten Underground-Dienstleistungswirtschaft entwickelt, die auf "Drainer-as-a-Service" (DaaS)-Plattformen aufbaut. Im Gegensatz zu herkömmlichen Malware-Operationen verlassen sich Krypto-Drainer typischerweise auf Social Engineering statt auf Gerätekompromittierung. Opfer werden auf gefälschte Krypto-, NFT-, Airdrop- oder DeFi-Websites gelockt und aufgefordert, ihre Wallets zu verbinden. Sobald eine bösartige Transaktion oder Wallet-Signatur genehmigt wurde, kann der Drainer Kryptowährungs-Assets direkt aus dem Wallet des Opfers übertragen, oft innerhalb von Sekunden. Eine Analyse von **Flare**-Forschern von etwa 700 Beiträgen, die zwischen Januar 2025 und Anfang 2026 aus Underground-Foren, Chats und Kanälen im Zusammenhang mit dem "Lucifer DaaS" gesammelt wurden, bietet einen seltenen Einblick in die interne Funktionsweise moderner Drainer-Operationen. Die Ergebnisse zeigen ein zunehmend professionalisiertes Ökosystem, das sich auf Affiliate-Wachstum, Automatisierung, Skalierbarkeit von Phishing, Umgehung von Wallet-Sicherheitsmaßnahmen und operative Widerstandsfähigkeit konzentriert. Die analysierten Daten deuten darauf hin, dass moderne Drainer-Operationen zunehmend ähnlich wie legitime SaaS-Unternehmen funktionieren. Akteure hinter Lucifer diskutierten Software-Releases, Bugfixes, Affiliate-Provisionen, Kundensupport, Hosting-Empfehlungen, Deployment-Automatisierung, Website-Klonen und Empfehlungssysteme, was einen tiefen Einblick in die Entwicklung von DaaS-Ökosystemen innerhalb von Underground-Communities ermöglicht. ## Was ist ein Drainer und wie funktioniert er Ein Krypto-Drainer ist ein Werkzeug, das entwickelt wurde, um Kryptowährungs-Assets direkt aus den Wallets von Opfern zu stehlen, indem Wallet-Berechtigungen und Transaktionsgenehmigungen missbraucht werden. Anstatt das Wallet selbst zu hacken, locken Angreifer typischerweise Opfer auf gefälschte Krypto-, NFT-, Airdrop-, DeFi- oder Token-Claim-Websites und bringen sie dazu, ihre Wallets zu verbinden und bösartige Anfragen oder Signaturen zu genehmigen. Sobald die Erlaubnis erteilt wurde, kann der Drainer automatisch Token, NFTs oder andere digitale Assets aus dem Wallet des Opfers in vom Angreifer kontrollierte Wallets übertragen, oft innerhalb von Sekunden und über mehrere Blockchains hinweg.  ## Drainer-as-a-Service Bei diesem Modell entwickelt und wartet der Betreiber die Drainer-Infrastruktur, während Affiliates die Opfer bringen. Die Aufgabe des Affiliates ist es, Traffic durch Phishing-Links, gefälschte Websites, kompromittierte Social-Media-Konten, Anzeigen, Spam oder Direktnachrichten zu generieren. Der DaaS-Betreiber kümmert sich um die Wallet-Interaktion, die Transaktionslogik, Benachrichtigungen und den Asset-Drainage-Fluss. Der Lucifer-Datensatz zeigt dieses Modell deutlich. In einem Werbebeitrag erklärt der Akteur, dass Affiliates "Traffic durch Phishing-Links, gefälschte Websites und ähnliche Methoden" bereitstellen, während der Dienst "Signaturen, Genehmigungen und Token-Übertragungen" verwaltet. Derselbe Beitrag beschreibt den Dienst als provisionsbasiert und präsentiert Lucifer Drainer als "professionelle Lösung" mit ERC20-Unterstützung, Permit2, Off-Chain-Signaturen, Umgehung von Wallet-Sicherheitsmaßnahmen, Multichain-Unterstützung und fortlaufenden Produktaktualisierungen.  Diese Sprache ist wichtig. Die Betreiber verkaufen kein einmaliges Malware-Kit. Sie verkaufen die Teilnahme an einer Plattform.  Ihr Telegram-Kanal unterstreicht denselben Punkt. Lucifer gibt wiederholt an, dass die Software "nicht zum Verkauf" stehe und die Betreiber eine Provision von 20 % von erfolgreichen "Hits" erhalten. Im Mai 2025 schrieb der Kanal, dass die Software weder verkauft noch vermietet werde und nur "20 % pro Hit" geteilt würden.  Dies ähnelt eher dem Ransomware-Affiliate-Modell als alten Phishing-Kits. Während die Entwickler das Produkt pflegen, bringen die Affiliates Traffic, um die Operation zu monetarisieren, und die Gewinne werden geteilt. ## Lucifer als Fallstudie Der Lucifer-Kanal zeigt eine Drainer-Operation, die sich öffentlich zu einer strukturierten DaaS-Plattform entwickelt.  Im März 2025 kündigte die Gruppe Version 6.6.6 an und bewarb ERC20-Unterstützung, Permit2-Missbrauch, Off-Chain-Signaturen, Telegram-Benachrichtigungen, Umgehung von Wallet-Sicherheitsmaßnahmen und Multichain-Funktionalität. Dieselbe Ankündigung betonte erneut, dass die Software nicht zum Verkauf stehe und die Betreiber eine Provision von 20 % von erfolgreichen "Hits" erhielten. Von da an ähnelte der Kanal zunehmend einem Softwareentwicklungs-Feed als einer typischen Malware-Operation. Die Betreiber kündigten Bugfixes, Updates zur Wallet-Kompatibilität, Telegram-Browser-Unterstützung, Verbesserungen bei der Bereitstellung und Hosting-Funktionen an. Eine der bemerkenswertesten Ergänzungen war eine Website-Klonfunktion, die es Affiliates ermöglichte, Phishing-Seiten zu klonen und ZIP-Dateien zu erhalten, die mit dem neuesten Lucifer-Code vorinstalliert waren. Im Laufe der Zeit verlagerte sich die Operation stark in Richtung Automatisierung. Spätere Updates führten "Zero Config"-Deployment-Workflows ein, die es Affiliates ermöglichten, statische Dateien hochzuladen, automatisch Phishing-fertige Pakete zu generieren und die Infrastruktur mit minimalem manuellen Aufwand bereitzustellen. Dies senkte die technischen Hürden für Affiliates erheblich.  Der breitere Datensatz zeigt auch, dass Lucifer aktiv in Underground-Communities rekrutierte, in denen andere Drainer-Marken wie Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega und Monkey diskutiert wurden. Ein wiederkehrendes Thema in den Beiträgen war "Traffic". Die Betreiber betonten wiederholt, dass Affiliates Opfer und Phishing-Verbreitungsmöglichkeiten benötigten, mehr als fortgeschrittene technische Fähigkeiten. Die Gruppe warnte jedoch auch, dass absolute Anfänger nicht willkommen seien, was darauf hindeutet, dass die Betreiber erfahrene Affiliates bevorzugten, die in der Lage waren, zuverlässigen Phishing-Traffic mit geringem operativen Aufwand zu generieren. ## Widerstandsfähigkeit nach Abschaltungen Wie andere Underground-Dienste zeigt auch Lucifer Anzeichen operativer Widerstandsfähigkeit. Im August 2025 wurden ihre Telegram-Bots gesperrt, woraufhin sie die Benutzer in ihrem Kanal anwiesen, neue Bots zu erstellen und ihnen Administratorrechte zu gewähren. Die Gruppe gab auch Anweisungen zur Behebung von Konfigurationsproblemen nach der Migration. Im November 2025 gab Lucifer bekannt, dass eine auf **Google Firebase** gehostete Dokumentationsdomain nach Forschungsberichten gesperrt worden sei. Die Gruppe reagierte, indem sie die Dokumentation auf das **InterPlanetary File System (IPFS)** (ein dezentrales Peer-to-Peer-Dateifreigabeprotokoll zur Speicherung und Verteilung von Daten) verlagerte und Dezentralisierung als Möglichkeit präsentierte, den Betrieb nach Abschaltungen aufrechtzuerhalten. Dies spiegelt das Verhalten im breiteren Drainer-Ökosystem wider. Die Forschung von **Check Point** zu "Inferno Drainer" beschrieb, wie die Operation trotz Wallet-Warnungen, Blacklists und Anti-Phishing-Abwehrmaßnahmen weiter angepasst wurde.  ## Warum Drainer für Cyberkriminelle so attraktiv wurden Drainer wurden beliebt, weil sie der Struktur des modernen Krypto-Verbrechens entsprechen. Krypto-Assets sind liquide, schnell beweglich und nach der Übertragung oft irreversibel. Angreifer müssen kein Bankportal kompromittieren oder auf ein Mule-Konto warten. Eine erfolgreiche Wallet-Genehmigung kann Assets sofort "leeren". Sie profitieren auch von der relativen Unreife der Krypto-Sicherheit im Vergleich zum traditionellen Finanzwesen. Da DaaS-Plattformen wie Lucifer sich weiterentwickeln, müssen Sicherheitsexperten und Krypto-Nutzer wachsam gegenüber diesen zunehmend ausgeklügelten Bedrohungen bleiben.