Alles over de nieuwe economie onder één dak.

Opgepast: nepwebsite Cryptohopper verspreidt malware waarmee cryptovaluta gestolen wordt

Peter Slagter
Peter Slagter

Er is een nieuwe scam-website gesignaleerd. De website imiteert het handelsplatform Cryptohopper. Bezoekers van de website krijgen automatisch een download aangeboden. Malware, ontworpen om cryptovaluta te stelen — in totaal al meer dan 33 BTC?

Veiligheid

Het is nog een voorbeeld van de “agressieve focus” op cryptovaluta, volgens Fumik0_, een malwareonderzoeker die zijn bevindingen deelt op Twitter. Het volledige rapport over de nieuwe ‘campagne’ is gedetailleerd beschreven door Bleeping Computer.

‘CryptoHopper’ gedownload?

De aanvallers hebben ervoor gezorgd dat gebruikers direct een download aangeboden krijgen. Het lijkt op een installatiebestand van Cryptohopper. Maar je begrijpt: dat is het niet. In werkelijkheid wordt Vidar geïnstalleerd, een bekend trojaans paard (trojan) ontworpen om informatie te stelen.

Na installatie download Vidar twee extra trojans. Eén die fungeert als miner, en de ander als een zogeheten ‘clipper’. Dat is een applicatie die het klembord overneemt. Als een gebruiker tekst kopieert, zorgt het virus ervoor dat iets anders geplakt wordt dan origineel op het klembord is gezet.

Diefstal van (persoonlijke) gegevens

Nadat het virus zich heeft genesteld op je computer begint het met het verzamelen van informatie. En daarvan wordt een heleboel verzameld. Denk aan je surfgeschiedenis. Cookies, opgeslagen logingegevens, cryptocurrency wallets, tekstbestanden, 2FA-databases. Er worden zelfs screenshots genomen.

Al je informatie wordt vervolgens geüpload naar een server waar de aanvaller(s) toegang toe hebben. Om niet op te vallen worden de gegevens na het uploaden weer verwijderd. Het enige dat nog opvalt is een hele rits aan lege mappen.

Diefstal van cryptovaluta

Het virus dat het klembord overneemt is (waarschijnlijk) verantwoordelijk voor het grootste deel van de gestolen cryptovaluta. Omdat adressen vaak lang en lastig te onthouden zijn, kopiëren en plakken de meeste mensen ze. Als zo’n adres wordt herkend, wordt het adres dat wordt geplakt vervangen met een adres van de aanvallers.

Op die manier is meer dan 20 ETH, 33 BTC, 4 LTC verzameld. Er lijkt ook ‘ondersteuning’ voor Bitcoin Cash, Doge, Dash, Zcash, Bitcoin Gold, QTUM, en Ripple te zijn ingebouwd. Of de eerdergenoemde bedragen in ’t geheel verzameld zijn via het virus is niet met zekerheid vast te stellen.

Peter Slagter

Peter Slagter

Eén van de oprichters van LekkerCryptisch. Actief met cryptovaluta sinds de opkomst van de bitcoin. Houdt van het innovatieve karakter van crypto en blockchaintechnologie, en volgt de ontwikkelingen in de markt op de voet. Verbindt graag techniek met business, en houdt ervan moeilijke concepten toegankelijk te maken voor een breed publiek.

Reageer

Wil je naar aanleiding van dit bericht verder praten? Heb je een vraag, een aanvulling, of had je het zelf anders geschreven? Laat het ons weten, en praat mee in onze community. Veel directer, én een stuk gezelliger dan zo'n ouderwets reactieformulier. De groep is actief, behulpzaam, en voor iedereen toegankelijk.

Blijf op de hoogte

Wil je direct nieuwe blogposts lezen? Alle nieuwe publicaties plaatsen we op Twitter. Je kunt daar ook de belangrijkste ontwikkelingen volgen.