CryptoClippy Malware werkt als een dief

CryptoClippy is een vorm van malware die functioneert als een cryptocurrency-clipper.

Het belangrijkste doel is om het klembord van de gebruiker te controleren en gevallen te detecteren waarin de gebruiker een adres van een cryptocurrency-portemonnee kopieert. Eenmaal geïdentificeerd, vervangt de malware het gekopieerde adres door dat van de aanvaller. Een cryptocurrency clipper is een soort kwaadaardige software die bedoeld is om cryptocurrency te stelen van nietsvermoedende slachtoffers. De malware werkt door het klembord van het slachtoffer te monitoren, dat tijdelijk gekopieerde of geknipte gegevens opslaat, waaronder het adres van een cryptocurrency-portemonnee.

Wanneer de clipper detecteert dat het slachtoffer een portemonnee-adres heeft gekopieerd, vervangt het het echte adres door dat van de aanvaller, wat leidt tot het omleiden van cryptocurrency-betalingen naar de portemonnee van de aanvaller. Het slachtoffer beseft de kwaadwillende activiteit mogelijk pas als het te laat is en het geld al is afgeschreven.

Naast het functioneren als een cryptocurrency-clipper, heeft CryptoClippy ook andere functies die aanvallers helpen bij het stelen van cryptocurrency. Een van deze functies is de mogelijkheid om een backdoor te creëren via Remote Desktop Protocol (RDP) door een RC4-gecodeerd PowerShell-script te implementeren.

CryptoClippy heeft specifieke functionaliteiten met betrekking tot het richten op Ethereum- en Bitcoin-cryptocurrency-portefeuilles. Er zijn aanwijzingen dat de hackers die verantwoordelijk zijn voor CryptoClippy zich voornamelijk richten op Portugees sprekende gebruikers.

Hoe werken cryptostealer-malwarevarianten gewoonlijk?

Cryptostealer-malwarevarianten zijn ontworpen om cryptocurrency uit de portemonnee van slachtoffers te stelen door hun beveiliging in gevaar te brengen. Ze werken door het apparaat van het slachtoffer te controleren op de aanwezigheid van cryptocurrency-portemonnee-adressen, die voor gebruiksgemak vaak worden gekopieerd en in het klembord geplakt.

Zodra een portemonnee-adres is gedetecteerd, vervangt de malware dit door een door een aanvaller gecontroleerd adres, waardoor eventuele cryptocurrency-betalingen worden omgeleid naar de portemonnee van de aanvaller in plaats van naar die van de beoogde ontvanger. Cryptostealers kunnen ook worden geprogrammeerd om toetsaanslagen te controleren en schermafbeeldingen te maken om inloggegevens of andere gevoelige informatie te stelen.

Sommige cryptostealer-varianten bevatten ook backdoor-mogelijkheden, zoals de mogelijkheid om een Remote Desktop Protocol (RDP)-verbinding tot stand te brengen of externe opdrachten uit te voeren. Hierdoor kunnen aanvallers toegang houden tot het apparaat van het slachtoffer en gedurende een langere periode doorgaan met het stelen van cryptocurrency of andere gevoelige gegevens.

Cryptostealers kunnen op verschillende manieren worden verspreid, waaronder phishing-e-mails, kwaadaardige downloads of social engineering-tactieken. Eenmaal geïnstalleerd op het apparaat van een slachtoffer, blijven ze vaak verborgen om detectie door beveiligingssoftware te voorkomen, waardoor ze moeilijk te detecteren en te verwijderen zijn.