2min

Onderzoekers van Palo Alto Networks hebben nieuwe malware ontdekt die zich richt op cryptovaluta en online wallets. ‘CryptoJack’ vervangt adressen op het klembord met adressen die door de aanvaller beheerd worden, zodat het geld naar de wallet van de cybercrimineel gestuurd wordt.

Eind februari stuitten Unit 42, het onderzoeksteam van Palo Alto Networks, en Proofpoint op een campagne met Japanners en Amerikanen als doelwit. Deze probeerde slachtoffers ervan te overtuigen dat een paspoort verloren was, waarbij een bijgevoegd PDF’je over een kopie van het document zou beschikken. In het bestand vinden we een enkele regel tekst die verwijst naar een bijgevoegd doc-bestand.

Uiteindelijk leidt dit tot het downloaden van een kwaadaardig bestand, de payload die ook wel ComboJack genoemd wordt. Het eerste gedownloade bestand is een self-extracting exacutable (SFX), waarin we commando’s vinden om de tweede fase uit te voeren. De tweede fase is een SFX die beschermd is met een wachtwoord. Dit wachtwoord wordt echter geleverd in het eerste stadium.

Daarna begint ComboJack zich te kopiëren naar een specifieke locatie, zodat het de ingebouwde Windows-tool attrib.exe kan gebruiken. Hier worden verborgen en systeemattributen vastgelegd. Op deze manier is het bestand verborgen voor de gebruiker en kunnen er SYSTEM-level privileges uitgevoerd worden. Een extra registry key maakt het detecteren nog wat lastiger.

ComboJack komt uiteindelijk in een oneindig proces terecht, waarbij er iedere halve seconde de content van een klembord gecontroleerd wordt. Daarbij wordt er gebruikgemaakt van verschillende criteria om te bepalen of de aanwezige informatie betrekking heeft op wallets voor verschillende valuta.

Eerdere malware

De techniek werkt dus als een slachtoffer niet het adres van bestemming controleert bij het afronden van de transactie. In 2017 maakte CryptoShuffler als eerste malware gebruik van deze techniek, waarbij de focus voornamelijk ligt op bitcoin. ComboJack heeft echter niet alleen bitcoin als doelwit, maar ook litecoin, monero en ethereum.