Dat blijkt uit een nieuw rapport van Kaspersky, Cybercriminelen gebruiken sinds september vorig jaar getrojaniseerde installatieprogramma's van de TOR-anonimiteitsbrowser om gebruikers in Rusland en Oost-Europa te targeten met clipper-malware. Deze malware is speciaal ontworpen om cryptocurrencies over te hevelen, en heeft het vermogen om jarenlang onopgemerkt te blijven. De aanval in kwestie is een klembordkaping, en dit type malware wordt meestal genoemd “clipper-malware“.
Clipper-malware, ook wel bekend als een klembordinjector, is al jaren een bedreiging. Deze schadelijke software kan de gegevens op het klembord beschadigen, waardoor het kan worden gewijzigd of zelfs naar de server kan worden gestuurd die door de aanvaller wordt beheerd. De aanval Kaspersky gerapporteerd vertrouwt erop dat malware een deel van de inhoud van het klembord vervangt zodra het een portemonnee-adres erin detecteert.
Clipper Malware-aanvallen nemen toe
Onlangs, Kaspersky-technologieën hebben een ontwikkeling van malware geïdentificeerd waarbij Tor Browser betrokken is, een tool die vaak wordt gebruikt om op het deep web te surfen, wordt gedownload van een externe bron in de vorm van een met een wachtwoord beveiligd RAR-archief. Het wachtwoord is waarschijnlijk bedoeld om te voorkomen dat beveiligingsoplossingen het bestand detecteren, en zodra het in het systeem van de gebruiker is geplaatst, het registreert zichzelf in de auto-start en vermomt zich met een icoon van een populaire applicatie zoals uTorrent.
Deze malware is gebruikt om zich te richten op cryptocurrencies zoals Bitcoin, Ethereum, Litecoin, dogecoin, en Monero, resulterend in meer dan 15,000 aanvallen over tenminste 52 landen. Rusland is het hardst getroffen door de blokkering van Tor Browser in het land, terwijl de Verenigde Staten, Duitsland, Oezbekistan, Wit-Rusland, China, Nederland, het Verenigd Koninkrijk, en Frankrijk vormen de top 10 getroffen landen. Volgens de huidige schattingen bedraagt het totale verlies van gebruikers minstens 400.000 dollar, hoewel het waarschijnlijk veel hoger is omdat er geen rekening is gehouden met aanvallen waarbij Tor Browser niet betrokken was.
Meer over de onlangs gedetecteerde Clipper-malware
Dit installatieprogramma bevat een passive, communicatieloze klembord-injector-malware die wordt beschermd met de Enigma Packer v4.0. De auteurs van deze malware hebben mogelijk een gekraakte versie van de packer gebruikt, omdat het geen licentie-informatie mist.
De payload van deze malware is vrij eenvoudig: het integreert in de Windows-klembordviewer en ontvangt meldingen wanneer de klembordgegevens worden gewijzigd. Als het klembord tekst bevat, het scant de inhoud met behulp van een set ingebedde reguliere expressies. Mocht er een match gevonden worden, het wordt vervangen door een willekeurig gekozen adres uit een hardgecodeerde lijst.
“Onder de ongeveer 16,000 detecties, de meerderheid was geregistreerd in Rusland en Oost-Europa. Echter, de dreiging verspreidde zich naar tenminste 52 landen wereldwijd,” Kaspersky-onderzoekers zeiden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: