Nieuws

Cryptostelende malware verspreid via torrents en 'juridische dreigmail'

vrijdag 8 augustus 2025, 13:24 door Redactie, 1 reacties

Criminelen maken gebruik van torrents en 'juridische dreigmails' om malware te verspreiden die cryptovaluta van gebruikers steelt. Volgens antivirusbedrijf Kaspersky zijn al meer dan vijfduizend mensen slachtoffer geworden. De malware in kwestie wordt Efimer genoemd en is in staat om op besmette systemen seed phrases te stelen die toegang tot cryptowallets geven.

Daarnaast vervangt de malware de adressesn van cryptowallets die zich in het clipboard bevinden door een adres van de aanvallers. Wanneer cryptogebruikers een betaling willen doen of geld naar een andere wallet willen overmaken, wordt hiervoor vaak het walletadres van de begunstigde gekopieerd en vervolgens in een veld op de transactiepagina geplakt. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt.

Volgens Kaspersky verscheen eind vorig jaar een eerste versie van de malware die via torrent-bestanden werd verspreid. Deze torrent-bestanden werden via gecompromitteerde WordPress-sites aangeboden. De aanvallers weten WordPress-sites via bruteforce-aanvallen te compromitteren. Vervolgens plaatsen ze berichten op de gecompromitteerde website waarin torrents worden aangeboden.

De aangeboden torrents claimen bekende films te bevatten. Het torrent-bestand downloadt een bestand dat op een mediabestand lijkt en een .exe-bestand om de media mee af te spelen. In werkelijkheid is dit de malware. Gecompromitteerde computers worden daarnaast ook gebruikt voor het uitvoeren van bruteforce-aanvallen tegen WordPress-sites.

Dreigmails

Naast torrents gebruiken de criminelen ook 'juridische dreigmails' om de malware te verspreiden. Domeineigenaren ontvangen een e-mail dat hun domeinnaam inbreuk op geregistreerde handelsmerken maakt. Daarnaast stelt de e-mail dat de patenthouders geïnteresseerd zijn in het overnemen van de domeinnaam. Als bijlage is een zip-bestand meegestuurd dat weer een beveiligd zip-bestand bevat. Dit beveiligde zip-bestand bevat weer een wsf-bestand dat de malware op het systeem plaatst.

Kaspersky stelt dat meer dan vijfduizend gebruikers met de malware te maken hebben gekregen. Het gaat hier alleen om gebruikers van Kaspersky. Het werkelijke aantal slachtoffers kan dan ook hoger liggen. De meeste getroffen gebruikers werden in Brazilië, India en Spanje waargenomen. "Het is belangrijk om te vermelden dat in beide scenario's besmetting alleen mogelijk is als de gebruiker het malafide bestand zelf downloadt en start", aldus Kaspersky. Het antivirusbedrijf adviseert gebruikers om geen torrent-bestanden van onbekende of dubieuze locaties te downloaden en de afzender van e-mails te verifiëren.

Privacy-OS Tails lanceert na ruim anderhalf jaar nieuwe versie

Duizenden SonicWall-appliances missen update voor buffer overflows

Reacties (1)

Reageer met quote

11-08-2025, 18:06 door The-Real-C

Je moet het ze nageven, deze cybercriminelen hebben tenminste nog wat creativiteit in hun vak. Eerst lokken ze je met torrents van zogenaamd de nieuwste bioscoopknaller, en als dat niet werkt sturen ze je een e-mail waarin ze beweren dat je domeinnaam een internationaal handelsmerk schendt. Wat is het volgende? Een briefduif met een dvd vol ransomware?

En natuurlijk zit er achter die torrent geen film maar een .exe bestand. Want wie wil er nou gewoon popcorn eten als je ook je hele cryptowallet kunt verliezen voor de prijs van een bioscoopkaartje. Het mooiste is dat je de malware zelf moet opstarten. Alsof je een envelop ontvangt waar groot “Niet openen, er zit een tijger in” op staat, en je denkt “Ach, wat kan er misgaan”.

Mijn mening: het internet blijft een speeltuin voor mensen met teveel tijd en te weinig geweten.
Als je echt graag een film wilt zien, koop gewoon een kaartje. Veel goedkoper dan wat deze versie van Hollywood uiteindelijk kost.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

BSN:

Vacature

Senior Netwerkbeheerder

Netwerk Services

AIVD

Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?

Lees meer

Vacature

Cybersecurity Trainer / Full Stack Developer

Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.

Lees meer

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Cryptostelende malware verspreid via torrents en 'juridische dreigmail'

Dreigmails

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

BSN:

Wachtwoord Vergeten

Password Reset

Registreren