Eine besonders bösartige kryptostehlende Malware wurde laut Forschern überarbeitet, um sie noch gefährlicher zu machen.
Die Cybersicherheitsexperten von Avast warnten davor, dass die Windows-Malware ViperSoftX, eine JavaScript-basierte RAT, die es seit mehr als zwei Jahren gibt, aktualisiert wurde, um auch ein Chrome-Browser-Plug-in zu installieren (wird in einem neuen Tab geöffnet).
ViperSoftX überwacht normalerweise den Inhalt der Zwischenablage des infizierten Endpunkts und wenn es feststellt, dass das Opfer eine Wallet-Adresse einer Kryptowährung kopiert und einfügt, ersetzt es die Adresse in der Zwischenablage durch eine, die den Angreifern gehört. Auf diese Weise gelangen die Gelder, die das Opfer schickt, in die Hände der Angreifer.
Gefälschtes Google Sheets-Add-on
Kryptowährungsadressen sind eine lange Liste scheinbar zufälliger Zeichen, was diese Art von Hack relativ effizient macht. Das Plugin macht im Grunde das Gleiche, aber etwas effizienter. Es heißt Google Sheets 2.1, um jeden Verdacht auf seine guten Absichten gegenüber den Opfern auszuräumen.
„VenomSoftX tut dies (stiehlt Krypto) hauptsächlich, indem es API-Anfragen in einige sehr beliebte Krypto-Börsen einfügt, die Opfer besuchen oder über ein Konto verfügen“, sagten die Forscher. „Wenn eine bestimmte API aufgerufen wird, um beispielsweise Geld zu senden, fälscht VenomSoftX die Anfrage, bevor sie gesendet wird, um das Geld an den Angreifer weiterzuleiten.“
Laut Avast zielt der Trojaner auf mehrere große Krypto-Player ab, darunter Coinbase, Binance, Kucoin, Gate.io und Blockchain.com. Das hört aber noch nicht auf: Es behält auch die Zwischenablage im Auge, um zu sehen, ob noch andere Wallets daran hängen.
Es gibt zwei beängstigende Details zu VenomSoftX, eines davon, dass die Erweiterung den HTML-Code auf Websites ändern kann, um die Wallet-Adresse des Opfers in Kryptowährung anzuzeigen. Mit anderen Worten, auch eine Sichtkontrolle der Adresse nach dem Aufkleben hilft nicht weiter. Darüber hinaus fängt die Malware alle API-Anfragen an die Dienste ab und setzt den Transaktionsbetrag auf das Maximum. Selbst wenn das Opfer zuerst eine Testtransaktion (eine kleine Transaktion von beispielsweise 10 €) durchführt, verliert es auf diese Weise sein gesamtes Guthaben.
Und schließlich wird Blockchain versuchen, das Passwort zu stehlen, wenn das Opfer es auf der Website eingibt.
Den Forschern zufolge ist es den Angreifern bisher gelungen, verschiedene Kryptos im Wert von etwa 130 US-Dollar zu stehlen. Wir wissen nicht, wie viele Menschen infiziert wurden, aber wir wissen, dass die meisten Opfer in den Vereinigten Staaten, Italien, Brasilien und Indien sind.
Google Sheets 2.1 existiert nicht. Wenn Sie also dieses Plugin installiert sehen, entfernen Sie es sofort.
Über: BleepingComputer (Öffnet in einem neuen Tab)