Criminelen maken gebruik van torrents en 'juridische dreigmails' om malware te verspreiden die cryptovaluta van gebruikers steelt. Volgens antivirusbedrijf Kaspersky zijn al meer dan vijfduizend mensen slachtoffer geworden. De malware in kwestie wordt Efimer genoemd en is in staat om op besmette systemen seed phrases te stelen die toegang tot cryptowallets geven.

Daarnaast vervangt de malware de adressesn van cryptowallets die zich in het clipboard bevinden door een adres van de aanvallers. Wanneer cryptogebruikers een betaling willen doen of geld naar een andere wallet willen overmaken, wordt hiervoor vaak het walletadres van de begunstigde gekopieerd en vervolgens in een veld op de transactiepagina geplakt. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt.

Volgens Kaspersky verscheen eind vorig jaar een eerste versie van de malware die via torrent-bestanden werd verspreid. Deze torrent-bestanden werden via gecompromitteerde WordPress-sites aangeboden. De aanvallers weten WordPress-sites via bruteforce-aanvallen te compromitteren. Vervolgens plaatsen ze berichten op de gecompromitteerde website waarin torrents worden aangeboden.

De aangeboden torrents claimen bekende films te bevatten. Het torrent-bestand downloadt een bestand dat op een mediabestand lijkt en een .exe-bestand om de media mee af te spelen. In werkelijkheid is dit de malware. Gecompromitteerde computers worden daarnaast ook gebruikt voor het uitvoeren van bruteforce-aanvallen tegen WordPress-sites.

Dreigmails

Naast torrents gebruiken de criminelen ook 'juridische dreigmails' om de malware te verspreiden. Domeineigenaren ontvangen een e-mail dat hun domeinnaam inbreuk op geregistreerde handelsmerken maakt. Daarnaast stelt de e-mail dat de patenthouders geïnteresseerd zijn in het overnemen van de domeinnaam. Als bijlage is een zip-bestand meegestuurd dat weer een beveiligd zip-bestand bevat. Dit beveiligde zip-bestand bevat weer een wsf-bestand dat de malware op het systeem plaatst.

Kaspersky stelt dat meer dan vijfduizend gebruikers met de malware te maken hebben gekregen. Het gaat hier alleen om gebruikers van Kaspersky. Het werkelijke aantal slachtoffers kan dan ook hoger liggen. De meeste getroffen gebruikers werden in Brazilië, India en Spanje waargenomen. "Het is belangrijk om te vermelden dat in beide scenario's besmetting alleen mogelijk is als de gebruiker het malafide bestand zelf downloadt en start", aldus Kaspersky. Het antivirusbedrijf adviseert gebruikers om geen torrent-bestanden van onbekende of dubieuze locaties te downloaden en de afzender van e-mails te verifiëren.