Wie aus einem Bericht von Bleeping Computer vom 5. Juni hervorgeht, entdeckte erst kürzlich ein japanischer Malware-Forscher eine neue Webseite, die Krypto-Malware verbreitet.
Laut dem Bericht handelt es sich um eine Kopie der Webseite von Cryptohopper. Auf der richtigen Webseite finden User Programmiertools für die Entwicklung von Anwendungen zum automatisierten Krypto-Handel.
Wird die Webseite erst einmal besucht, lädt diese automatisch eine setup.exe-Datei herunter, die den PC mit der Schadsoftware infiziert, sobald die Datei ausgeführt wird. Um die Benutzer zu täuschen, zeigt das Setup-Panel das Logo von Cryptohopper an.
Bei der Ausführung des Setup-Programms werden der datenraubende Trojaner Vidar sowie zwei Qulab-Trojaner zum Mining und Clipboard Hijacking installiert.
Während der Vidar-Trojaner hauptsächlich darauf ausgerichtet ist, Nutzerdaten wie Browser-Cookies, Verlauf, gespeicherte Zahlungs- und Anmeldeinformationen sowie Krypto-Wallets auszulesen, zu kompilieren und diese Datensammlung an einen Remote-Server zu senden, versucht der Qulab Clipboard Hijacker, in die Zwischenlage kopierten Wallet-Adressen durch seine eigenen zu ersetzen. So werden vom Nutzer veranlasste Krypto-Transaktionen an die Adressen der Angreifer umgelenkt.
Weiters wurde eine mit der Schadsoftware assoziierte Wallet entdeckt, auf der sich bereits über 33 Bitcoin (BTC) im Wert von aktuell über 258.000 US-Dollar befinden. Allerdings wird vermutet, dass nicht alle BTC hauptsächlich durch den Cryptohopper-Betrug akkumuliert wurden.
Photo by typographyimages (Pixabay)