Malware verandert onopgemerkt cryptowallet-adres in Windows-klembord

Abonneer je gratis op Techzine!

Hackers hebben behoorlijk vernuftige malware weten te ontwikkelen. Er is een exploit ontdekt die 2,3 miljoen zeer waardevolle cryptowallets in de gaten houdt en de adressen in het Windows-klembord vervangt met een adres van de hackers zelf. Kortom: gebruikers kunnen hun eigen walletadres plakken, maar dat adres wordt dan veranderd naar dat van de hackers.

Veiligheidsonderzoekers van Bleeping Computer meldden vandaag het bestaan van de hack. De meeste mensen die er slachtoffer van zijn, zullen er in eerste instantie niets van merken. Dat komt omdat alle handelingen plaatsvinden in het klembord van Windows. Slachtoffers kunnen dus een adres kopiëren, maar bij het plakken daarvan wordt een heel ander adres weergegeven.

Gigantisch DLL-bestand

Deze malware maakt gebruik van een gigantisch DLL-bestand van maar liefst 83 mb. Dat doet zich voor als een Dirext X-dienst, en bevat 2,5 miljoen regels aan tekst. Die tekst bestaat geheel uit bitcoin-adressen. Al die adressen bevatten flink wat bitcoin en geprobeerd wordt om eventuele transacties te onderscheppen.

De exploit werkt volgens de onderzoekers behoorlijk verfijnd. Als er een wallet-adres gekopieerd wordt, dan worden de eerste tekens van dat adres niet gewijzigd, maar wel de tekens aan het einde. Daardoor zou de exploit voor de meeste mensen niet heel erg opvallen. Volgens de onderzoekers is er weinig gevaar, omdat meerdere antivirusscanners de DLL als gevaarlijk aanmerken.

Belangrijk is en blijft dus dat mensen hun antivirusscanners up-to-date houden. Verder benadrukt Bleeping Computer dat het van groot belang is om elk wallet-adres dubbel te controleren. “Op deze manier kan je zien of een adres vervangen is door een ander adres dan je oorspronkelijk bedoeld had”.

Hieronder een video van Bleeping Computer die laat zien hoe de hijack werkt.