Een malwarefamilie die op besmette systemen de inhoud van het clipboard aanpast heeft wereldwijd mogelijk miljoenen dollars aan cryptovaluta gestolen, zo stelt antivirusbedrijf Avast in een analyse. Het bedrijf analyseerde duizenden varianten van de MyKings-malware.
Het botnet is al zeker sinds 2016 actief en maakt onder andere gebruik van bruteforce-aanvallen en bekende kwetsbaarheden om systemen te infecteren. MyKings bestaat uit verschillende modules, waaronder een "clipboard stealer". Deze module wijzigt de inhoud van het clipboard als het daar bepaalde informatie in aantreft. Het gaat dan onder andere om adressen van wallets voor bitcoin, dogecoin en ethereum.
Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. MyKings verandert het gekopieerde adres in dat van de aanvaller, zodat die het geld ontvangt.
"De malware rekent op het feit dat gebruikers niet verwachten dat de geplakte waarde verschilt van de waarde die ze kopieerden", zegt onderzoeker Jan Rubin. Zeker bij de lange adressen van cryptowallets valt dit niet op. In de verschillende wallets van de MyKing-malware werd in totaal voor 24,7 miljoen dollar aan cryptovaluta aangetroffen. Het staat echter niet vast dat al dit geld door middel van de clipboard stealer is gestolen.
Naast cryptovaluta wijzigt MyKings ook Steam trade offer-links en Yandex Disk-links die zich in het clipboard bevinden. Yandex Disk is vergelijkbaar met Google Drive en Dropbox en wordt gebruikt voor het delen van bestanden. De malware wijzigt de Yandex Disk-link in het clipboard. Zodra de besmette gebruiker deze link met anderen deelt, ontvangen die de aangepaste link die naar een ander bestand wijst dat in werkelijkheid malware is, zodat MyKings zich verder kan verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.