Opgepast: nepwebsite Cryptohopper verspreidt malware waarmee cryptovaluta gestolen wordt

Er is een nieuwe scam-website gesignaleerd. De website imiteert het handelsplatform Cryptohopper. Bezoekers van de website krijgen automatisch een download aangeboden. Malware, ontworpen om cryptovaluta te stelen — in totaal al meer dan 33 BTC?

Veiligheid

Opgepast: nepwebsite Cryptohopper verspreidt malware waarmee cryptovaluta gestolen wordt
0%
Peter Slagter
Door Peter Slagter

Het is nog een voorbeeld van de “agressieve focus” op cryptovaluta, volgens Fumik0_, een malwareonderzoeker die zijn bevindingen deelt op Twitter. Het volledige rapport over de nieuwe ‘campagne’ is gedetailleerd beschreven door Bleeping Computer.

‘CryptoHopper’ gedownload?

De aanvallers hebben ervoor gezorgd dat gebruikers direct een download aangeboden krijgen. Het lijkt op een installatiebestand van Cryptohopper. Maar je begrijpt: dat is het niet. In werkelijkheid wordt Vidar geïnstalleerd, een bekend trojaans paard (trojan) ontworpen om informatie te stelen.

Na installatie download Vidar twee extra trojans. Eén die fungeert als miner, en de ander als een zogeheten ‘clipper’. Dat is een applicatie die het klembord overneemt. Als een gebruiker tekst kopieert, zorgt het virus ervoor dat iets anders geplakt wordt dan origineel op het klembord is gezet.

Diefstal van (persoonlijke) gegevens

Nadat het virus zich heeft genesteld op je computer begint het met het verzamelen van informatie. En daarvan wordt een heleboel verzameld. Denk aan je surfgeschiedenis. Cookies, opgeslagen logingegevens, cryptocurrency wallets, tekstbestanden, 2FA-databases. Er worden zelfs screenshots genomen.

Al je informatie wordt vervolgens geüpload naar een server waar de aanvaller(s) toegang toe hebben. Om niet op te vallen worden de gegevens na het uploaden weer verwijderd. Het enige dat nog opvalt is een hele rits aan lege mappen.

Diefstal van cryptovaluta

Het virus dat het klembord overneemt is (waarschijnlijk) verantwoordelijk voor het grootste deel van de gestolen cryptovaluta. Omdat adressen vaak lang en lastig te onthouden zijn, kopiëren en plakken de meeste mensen ze. Als zo’n adres wordt herkend, wordt het adres dat wordt geplakt vervangen met een adres van de aanvallers.

Op die manier is meer dan 20 ETH, 33 BTC, 4 LTC verzameld. Er lijkt ook ‘ondersteuning’ voor Bitcoin Cash, Doge, Dash, Zcash, Bitcoin Gold, QTUM, en Ripple te zijn ingebouwd. Of de eerdergenoemde bedragen in ’t geheel verzameld zijn via het virus is niet met zekerheid vast te stellen.

Over de auteur

Peter Slagter

Peter Slagter

Hoofdredacteur en medeoprichter van LekkerCryptisch. Voorliefde voor techniek en economie, met in het bijzonder de overlap tussen die twee. Vind het leuk om complexe onderwerpen toegankelijk te maken voor een breed publiek.

Steun

LekkerCryptisch wordt gesteund door BLOX.

Altijd op de hoogte