image

Avast: mogelijk miljoenen gestolen door malware die clipboard aanpast

donderdag 14 oktober 2021, 14:50 door Redactie, 3 reacties

Een malwarefamilie die op besmette systemen de inhoud van het clipboard aanpast heeft wereldwijd mogelijk miljoenen dollars aan cryptovaluta gestolen, zo stelt antivirusbedrijf Avast in een analyse. Het bedrijf analyseerde duizenden varianten van de MyKings-malware.

Het botnet is al zeker sinds 2016 actief en maakt onder andere gebruik van bruteforce-aanvallen en bekende kwetsbaarheden om systemen te infecteren. MyKings bestaat uit verschillende modules, waaronder een "clipboard stealer". Deze module wijzigt de inhoud van het clipboard als het daar bepaalde informatie in aantreft. Het gaat dan onder andere om adressen van wallets voor bitcoin, dogecoin en ethereum.

Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. MyKings verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt.

"De malware rekent op het feit dat gebruikers niet verwachten dat de geplakte waarde verschilt van de waarde die ze kopieerden", zegt onderzoeker Jan Rubin. Zeker bij de lange adressen van cryptowallets valt dit niet op. In de verschillende wallets van de MyKing-malware werd in totaal voor 24,7 miljoen dollar aan cryptovaluta aangetroffen. Het staat echter niet vast dat al dit geld door middel van de clipboard stealer is gestolen.

Naast cryptovaluta wijzigt MyKings ook Steam trade offer-links en Yandex Disk-links die zich in het clipboard bevinden. Yandex Disk is vergelijkbaar met Google Drive en Dropbox en wordt gebruikt voor het delen van bestanden. De malware wijzigt de Yandex Disk-link in het clipboard. Zodra de besmette gebruiker deze link met anderen deelt, ontvangen die de aangepaste link die naar een ander bestand wijst dat in werkelijkheid malware is, zodat MyKings zich verder kan verspreiden.

Reacties (3)
14-10-2021, 19:02 door Anoniem
Crypto wallets zouden een verplichte tenaamstelling moeten hebben die ook wordt opgegeven bij transacties.
Door daar dan de bekende naam-nummer controle op te doen kan voorkomen worden dat dit soort truukjes plaatsvinden.
Ook is het van belang om te weten wie er achter een crypto wallet zit, zodat dit gebruikt kan worden na onverschuldigde
of door criminelen afgedwongen betalingen.
Crypto munten die hier niet in mee willen gaan zouden verboden moeten worden.
14-10-2021, 21:53 door Anoniem
Door Anoniem: Crypto wallets zouden een verplichte tenaamstelling moeten hebben die ook wordt opgegeven bij transacties.
Door daar dan de bekende naam-nummer controle op te doen kan voorkomen worden dat dit soort truukjes plaatsvinden.
Ook is het van belang om te weten wie er achter een crypto wallet zit, zodat dit gebruikt kan worden na onverschuldigde
of door criminelen afgedwongen betalingen.
Crypto munten die hier niet in mee willen gaan zouden verboden moeten worden.
Dus jij denkt dat mensen die nu het wallet-adres niet controleren voor ze op enter drukken wel de naam-nummer combinatie controleren?

Mensen moeten niet zulke verantwoordelijk nemen (bijv. in bitcoins handelen) terwijl ze zo dom zijn. We moeten ook eens stoppen met pamperen. Nu worden mensen ook al schadeloos gesteld in het geval van Vriend-In-Nood fraudes. Dus als een bekende een paar duizend Euro van je wil komt het niet in je op om even een telefoontje te plegen....Of even wat controlevragen te stellen? Maar je weet wel de weg om te klagen.
14-10-2021, 23:21 door Anoniem
Door Anoniem:
Door Anoniem: Crypto wallets zouden een verplichte tenaamstelling moeten hebben die ook wordt opgegeven bij transacties.
Door daar dan de bekende naam-nummer controle op te doen kan voorkomen worden dat dit soort truukjes plaatsvinden.
Ook is het van belang om te weten wie er achter een crypto wallet zit, zodat dit gebruikt kan worden na onverschuldigde
of door criminelen afgedwongen betalingen.
Crypto munten die hier niet in mee willen gaan zouden verboden moeten worden.
Dus jij denkt dat mensen die nu het wallet-adres niet controleren voor ze op enter drukken wel de naam-nummer combinatie controleren?
Nee dat moet het Bitcoin systeem/netwerk doen. Dwz transacties weigeren waarvan naam niet klopt met nummer.

Mensen moeten niet zulke verantwoordelijk nemen (bijv. in bitcoins handelen) terwijl ze zo dom zijn.
Klopt, in Bitcoins handelen is alleen voor superslimme mensen zoals jij. Ik waag me daar dan ook niet aan, te dom.
Maar het voordeel van zo iets invoeren is dat niet alleen domme mensen maar ook criminelen het lastiger krijgen
met die Bitcoin, en daar worden we allemaal beter van. Al was het maar omdat criminelen niet meer zo gemakkelijk
"maak even een miljoen over naar deze anonieme wallet en dan krijg je je data terug" kunnen doen want dat soort
transacties werken dan niet meer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.