Neuer Krypto-Trojaner verbreitet sich über gefälschte Webseite

Twitter-Nutzer und Malware-Forscher Fumik0_ hat eine neue Website entdeckt, welche Kryptowährungs-Malware verbreitet, so ein Bericht von Bleeping Computer vom 5. Juni.

Dem Bericht zufolge handelt es sich bei der Malware-verbreitenden Seite um die Kopie der Cryptohopper-Website. Auf der richtigen Cryptohopper-Website finden Nutzer Programmiertools für die Entwicklung von Anwendungen zum automatischen Kryptowährungshandel.

Sobald die Betrugsseite besucht wird, lädt diese automatisch einen setup.exe-Installer herunter, der den Computer mit der Malware infiziert, sobald er ausgeführt wird. Das Setup-Panel zeigt das Logo von Cryptohopper an, um den Benutzer zu täuschen.

Das Ausführen des Setup-Programms führt dem Bericht zufolge zur Installation des datenraubenden Trojaners Vidar sowie zwei Qulab-Trojaner zum Krypto-Mining und Clipboard Hijacking. Der Clipper und die Miner sammeln in der Folge einmal pro Minute Daten von dem infizierten PC.

Der Vidar-Trojaner selbst versucht, Benutzerdaten wie Browser-Cookies, Browser-Verlauf, Browser-Zahlungsinformationen, gespeicherte Anmeldeinformationen und Kryptowährungs-Wallets auszulesen. Die erhobenen Daten werden in regelmäßigen Abständen in eine Sammlung kompiliert, an einen Remote-Server gesendet und die Sammlung anschließend gelöscht.

Der Qulab Clipboard Hijacker versucht, in die Zwischenablage kopierte, mögliche Wallet-Adressen durch seine eigenen Adressen zu ersetzen. Vom Benutzer veranlasste Krypto-Überweisungen werden in der Folge an die Adresse des Angreifers umgelenkt.

In der Malware finden sich Adress-Substitute für Ether (ETH), Bitcoin (BTC), Bitcoin Cash (BCH), Dogecoin (DOGE), Dash (DASH), Litecoin (LTC), Zcash (ZEC), Bitcoin Gold (BTG), xrp und qtum.

Eine mit der Malware assoziierte Wallet soll bereits über 33 BTC im Wert von aktuell über 258.000 US-Dollar über die Bitcoin-Adresse "1FFRitFm5rP5oY5aeTeDikpQiWRz278L45" erhalten haben, wobei wahrscheinlich nicht der gesamte Betrag auf den Betrug zurückzuführen ist.

Wie bereits von Cointelegraph berichtet, wurde im Mai ein YouTube-basierter Kryptobetrug entdeckt, der seine Opfer mit dem Versprechen eines kostenlosen BTC-Generators anzieht. Wenn die Nutzer den angeblichen BTC-Generator ausführen, der beim Besuch der zugehörigen Website automatisch heruntergeladen wird, handeln sie sich automatisch eine Infektion mit einem Qulab-Trojaner ein. Der Qulab-Trojaner versucht dann, Benutzerinformationen zu stehlen und führt ebenfalls einen automatischen Textaustausch für in die Zwischenablage kopierte Kryptoadressen aus.