Opgepast: nepwebsite Cryptohopper verspreidt malware waarmee cryptovaluta gestolen wordt

Het is nog een voorbeeld van de “agressieve focus” op cryptovaluta, volgens Fumik0_, een malwareonderzoeker die zijn bevindingen deelt op Twitter. Het volledige rapport over de nieuwe ‘campagne’ is gedetailleerd beschreven door Bleeping Computer.

Vidar behind a fake CryptoCurrency trading software with a fancy website (4962c0afb925d23013f6c80433f0a453), pushing also two Qulab Variants (Clipper only & Miner variant). An example among other about the aggressive focus on Cryptocurrencies these days. pic.twitter.com/TFrzabHHHa

— Fumik0_ (@fumik0_) June 5, 2019

‘CryptoHopper’ gedownload?

De aanvallers hebben ervoor gezorgd dat gebruikers direct een download aangeboden krijgen. Het lijkt op een installatiebestand van Cryptohopper. Maar je begrijpt: dat is het niet. In werkelijkheid wordt Vidar geïnstalleerd, een bekend trojaans paard (trojan) ontworpen om informatie te stelen.

Na installatie download Vidar twee extra trojans. Eén die fungeert als miner, en de ander als een zogeheten ‘clipper’. Dat is een applicatie die het klembord overneemt. Als een gebruiker tekst kopieert, zorgt het virus ervoor dat iets anders geplakt wordt dan origineel op het klembord is gezet.

Diefstal van (persoonlijke) gegevens

Nadat het virus zich heeft genesteld op je computer begint het met het verzamelen van informatie. En daarvan wordt een heleboel verzameld. Denk aan je surfgeschiedenis. Cookies, opgeslagen logingegevens, cryptocurrency wallets, tekstbestanden, 2FA-databases. Er worden zelfs screenshots genomen.

Al je informatie wordt vervolgens geüpload naar een server waar de aanvaller(s) toegang toe hebben. Om niet op te vallen worden de gegevens na het uploaden weer verwijderd. Het enige dat nog opvalt is een hele rits aan lege mappen.

Diefstal van cryptovaluta

Het virus dat het klembord overneemt is (waarschijnlijk) verantwoordelijk voor het grootste deel van de gestolen cryptovaluta. Omdat adressen vaak lang en lastig te onthouden zijn, kopiëren en plakken de meeste mensen ze. Als zo’n adres wordt herkend, wordt het adres dat wordt geplakt vervangen met een adres van de aanvallers.

Op die manier is meer dan 20 ETH, 33 BTC, 4 LTC verzameld. Er lijkt ook ‘ondersteuning’ voor Bitcoin Cash, Doge, Dash, Zcash, Bitcoin Gold, QTUM, en Ripple te zijn ingebouwd. Of de eerdergenoemde bedragen in ’t geheel verzameld zijn via het virus is niet met zekerheid vast te stellen.