Botnet dat zich op Electrum-wallet richt steelt 4,6 miljoen dollar

Een botnet dat gebruikt wordt om geld te stelen uit het bitcoin-walletnetwerk Electrum blijft groeien. Volgens onderzoekers ging het op zijn hoogtepunt over 150.000 hosts heen. In totaal zou nu 4,6 miljoen dollar van slachtoffers gestolen zijn.

Het botnet werd op 8 april voor het eerst ontdekt, schrijft Silicon Angle. Het gaat om een nieuwe variatie van een campagne die op 27 december voor het eerst ontdekt werd.

Electrum werkt op een gedistribueerd model, waarbij gebruikers van de wallet verbinding maken met verschillende servers. De mensen achter de aanvallen introduceren hun eigen Electrum-servers in het netwerk met een malafide versie van de wallet-code. Deze kwaadaardige versie misleidt gebruikers misleid om het te downloaden. De malafide wallet laat de cybercriminelen vervolgens de cryptovalutabalans van de slachtoffers stelen.

Het botnet wordt gebruikt om een DDoS-aanval te draaien met als doel legitieme Electrum-servers offline te halen. Daardoor worden gebruikers gedwongen om, in plaats van met de echte Electrum-servers, verbinding te maken met de malafide servers. Hoewel Electrum het probleem via een update van de wallet-software inmiddels heeft opgelost, moeten gebruikers hun wallet wel updaten. Gezien het botnet snel groeit, is het duidelijk dat veel mensen dit niet hebben gedaan.

Snelle groei

Malwarebytes monitort het Electrum-botnet en zegt nu dat er 4,6 miljoen dollar gestolen is via het botnet. “Het botnet dat zich door de Electrum-infrastructuur verspreidt, groeit snel”, aldus de onderzoekers. “Op 24 april was het aantal geïnfecteerde machines net iets onder de 100.000. Een dag later kwam dat aantal op het hoogste punt tot nu toe uit: 152.000.” Daarna is het aantal geïnfecteerde machines weer iets gedaald en blijft het rond de 100.000 steken.

Ook identificeerden de onderzoekers twee distributiecampagnes die het botnet aansturen. Het gaat om de Smoke Loader en RIG exploit kit. Beide worden gebruikt om ElectrumDoSMiner-malware te installeren, dat de DDoS-aanval tegen legitieme Electrum-servers aanstuurt.

De meeste geïnfecteerde apparaten bevinden zich in Azië, evenals in Brazilië en Peru. Daarbij lijkt het er op dat sommige machines worden opgeruimd, terwijl nieuwe worden geïnfecteerd.