Ga naar inhoud

Avast: mogelijk miljoenen gestolen door malware die clipboard aanpast


Aanbevolen berichten

Een malwarefamilie die op besmette systemen de inhoud van het clipboard aanpast heeft wereldwijd mogelijk miljoenen dollars aan cryptovaluta gestolen, zo stelt antivirusbedrijf Avast in een analyse. Het bedrijf analyseerde duizenden varianten van de MyKings-malware.

Het botnet is al zeker sinds 2016 actief en maakt onder andere gebruik van bruteforce-aanvallen en bekende kwetsbaarheden om systemen te infecteren. MyKings bestaat uit verschillende modules, waaronder een "clipboard stealer". Deze module wijzigt de inhoud van het clipboard als het daar bepaalde informatie in aantreft. Het gaat dan onder andere om adressen van wallets voor bitcoin, dogecoin en ethereum.

Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. MyKings verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt.

"De malware rekent op het feit dat gebruikers niet verwachten dat de geplakte waarde verschilt van de waarde die ze kopieerden", zegt onderzoeker Jan Rubin. Zeker bij de lange adressen van cryptowallets valt dit niet op. In de verschillende wallets van de MyKing-malware werd in totaal voor 24,7 miljoen dollar aan cryptovaluta aangetroffen. Het staat echter niet vast dat al dit geld door middel van de clipboard stealer is gestolen.

Naast cryptovaluta wijzigt MyKings ook Steam trade offer-links en Yandex Disk-links die zich in het clipboard bevinden. Yandex Disk is vergelijkbaar met Google Drive en Dropbox en wordt gebruikt voor het delen van bestanden. De malware wijzigt de Yandex Disk-link in het clipboard. Zodra de besmette gebruiker deze link met anderen deelt, ontvangen die de aangepaste link die naar een ander bestand wijst dat in werkelijkheid malware is, zodat MyKings zich verder kan verspreiden.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...