image

Clipper-malware vervangt walletadres in clipboard met gelijkend adres

donderdag 3 november 2022, 14:49 door Redactie, 2 reacties

Onderzoekers hebben nieuwe clipper-malware ontdekt die op besmette computers het gekopieerde walletadres in het clipboard vervangt door een gelijkend adres. Daardoor is er een veel grotere kans dat het slachtoffer onopgemerkt zijn cryptovaluta overmaakt naar de aanvallers.

Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Malware op de computer kan het adres aanpassen, waardoor de aanvaller het geld ontvangt.

Al sinds 2017 is er malware in omloop die door het aanpassen van het clipboard cryptovaluta weet te stelen. Iets dat criminelen honderdduizenden euro's heeft opgeleverd. Cryptogebruikers wordt dan ook aangeraden om op te letten wanneer ze een walletadres kopiëren en plakken.

Een nieuwe versie van de Laplas-malware heeft hier iets voor verzonnen. Zodra het slachtoffer een walletadres kopieert downloadt deze clipper-malware een gelijkend walletadres van de server van de aanvaller. De kans dat het slachtoffer het aangepaste adres opmerkt is daardoor een stuk kleiner, zo stellen onderzoekers van securitybedrijf Cyble. De Laplas-clipper verspreidt zich via malafide e-mailbijlagen.

Reacties (2)
03-11-2022, 15:40 door Anoniem
Misschien dat een soort gemakkelijk leesbare checksum een oplossing kan zijn. In plaats van alleen een adres krijg je er ook een paar woorden bij. Deze worden gegenereerd met een zeer CPU slurpend algoritme, iets wat je gemakkelijk een tiental seconden op sterke hardware kan laten duren. Een voorbeeld hiervan is hoe password hashing bij websites gebeurd. Veel servers gebruiken een sterkte die gebaseerd is op hoelang het hashen zelf duurt.

Als dit soort clipper malware dan buiten een adres ook nog eens de checksum moet gaan proberen nabootsen, is het mogelijk genoeg tijd te hebben om het al lang over gekopieerd te hebben. In sommige gevallen zou het zelfs mogelijk zijn dat, - als dit process op de server van de aanvaller gebeurd -, diens server zeer zwaar te belasten door deze een lading checksums te doen genereren. Een tegenaanval dus.

Hier is een voorbeeld van hoe een server gebenchmarked wordt om een goede "compute time" te vinden:
https://www.php.net/manual/en/function.password-hash.php -> example #3

Ik hoop dat dit idee misschien verspreid kan worden, maar ik weet de juiste kanalen niet.
03-11-2022, 21:08 door Anoniem
Door Anoniem: Misschien dat een soort gemakkelijk leesbare checksum een oplossing kan zijn. In plaats van alleen een adres krijg je er ook een paar woorden bij. Deze worden gegenereerd met een zeer CPU slurpend algoritme, iets wat je gemakkelijk een tiental seconden op sterke hardware kan laten duren. Een voorbeeld hiervan is hoe password hashing bij websites gebeurd. Veel servers gebruiken een sterkte die gebaseerd is op hoelang het hashen zelf duurt.

Als dit soort clipper malware dan buiten een adres ook nog eens de checksum moet gaan proberen nabootsen, is het mogelijk genoeg tijd te hebben om het al lang over gekopieerd te hebben. In sommige gevallen zou het zelfs mogelijk zijn dat, - als dit process op de server van de aanvaller gebeurd -, diens server zeer zwaar te belasten door deze een lading checksums te doen genereren. Een tegenaanval dus.

Hier is een voorbeeld van hoe een server gebenchmarked wordt om een goede "compute time" te vinden:
https://www.php.net/manual/en/function.password-hash.php -> example #3

Ik hoop dat dit idee misschien verspreid kan worden, maar ik weet de juiste kanalen niet.

Je kunt best wat verzinnen om de bitcoin bestemming te voorzien van een mnemonic - zie bijvoorbeeld wat SSH doet met keys , en de omzetting in een soort ascii-art. (randomart )
Het is nergens voor nodig dat dat "traag" is , als je iets baseert op een goede hash is het toch al niet mogelijk om een "gelijkend" adres te maken dat ook nog eenzelfde of gelijkende hash maakt .

Het probleem is - die hele boel draait op een besmette computer. Een computer waarop malware de controle heeft is niet meer in staat om betrouwbaar hashes of mnemonics of wat dan ook te maken - de malware kan gewoon _het resultaat_ van die functie onderscheppen en daar de goede waarde laten zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.