Duizenden mensen downloaden dagelijks illegale software waarin malware verborgen zit die cryptovaluta probeert te stelen. Dat meldt antivirusbedrijf Avast op basis van eigen cijfers. De virusbestrijder stelt dat het de malware elke dag bij tienduizend klanten detecteert. De malware wordt aangeboden via websites die allerlei gekraakte software en licentiesleutels claimen aan te bieden.

De aangeboden software is in werkelijkheid malware die creditcardgegevens, wachtwoorden en privédata van crypto-extensies uit de browsers steelt en terugstuurt naar de aanvallers. Daarnaast wijzigt de malware walletadressen in het clipboard. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina.

Op dat moment bevindt het adres zich in het clipboard van de computer. De cryptomalware kan het adres aanpassen, waardoor de aanvaller het geld ontvangt. De malware waarover Avast bericht gebruikt 37 verschillende wallets voor verschillende cryptovaluta. De virusbestrijder schat dat de aanvallers op deze manier zeker 50.000 dollar hebben buitgemaakt.

Een andere interessante techniek die de cryptomalware toepast is het aanpassen van de proxy-instellingen van het systeem. Wanneer het slachtoffer vanaf zijn computer cryptobeurzen Binance, Huobi of OKX wil bezoeken wordt het verkeer doorgestuurd naar een ip-adres van de aanvallers, die op deze manier inloggegevens en andere gevoelige data van de cryptobeurzen kunnen stelen, aldus Avast. De malware werd met name in Brazilië, India, Indonesië en Frankrijk gedetecteerd.