Anonimowi hakerzy stworzyli szkodliwe oprogramowanie w postaci witryny podszywającej się pod platformę kryptowalutową Cryptohopper w celu dystrybucji wirusów takich jak trojany, które kradną informacje, atakują koparki do wydobywania kryptowalut oraz kradną hasła.
Zobacz również: Facebook wkrótce odsłoni karty dot. własnej kryptowaluty
Trojan zastępuje adres kryptowalut, a następnie je sprzedaje
Cryptohopper to platforma handlowa, na której użytkownicy mogą budować automatyczne strategie, które będą wykorzystywane do handlu kryptowalutami na różnych rynkach. Użytkownik Fumik0_, który odkrył złośliwe oprogramowanie zauważa, że po odwiedzeniu witryny platformy transakcyjnej Cryptohopper zostaje pobrany automatycznie plik Setup.exe, który wygląda identycznie jak legalna platforma CryptoHopper, ale w rzeczywistości jest to trojan kradnący informacje.
Po zainstalowaniu trojan pobiera wymagane biblioteki, a następnie instaluje dwa kolejne trojany: jeden, który działa jak krypto-górnik, a drugi do przechwytywania danych i haseł. Analiza Fumik0_ pokazuje, że wirus będzie próbował ukraść następujące informacje:
- Pliki cookie przeglądarki;
- Historia przeglądarki;
- Informacje o płatnościach przeglądarki;
- Zapisane dane logowania;
- Portfele kryptowalutowe;
- Pliki tekstowe;
- Formularz przeglądarki;
- Bazy danych uwierzytelniających Authy 2FA;
- Zrzut ekranu pulpitu w czasie infekcji i wiele innych.
Informacje te zostają następnie przesłane na serwer zdalny, aby mogły zostać zebrane przez atakujących hakerów. Po wysłaniu informacji pliki zostają usunięte z zainfekowanego komputera, pozostawiając katalog pełen pustych folderów.
Ponieważ Cryptohopper wygląda jak legalna platforma transakcyjna, jeśli jeden z jej użytkowników omyłkowo trafi do fałszywej wersji witryny i zainstaluje trojana, jego dane mogą zostać skradzione i wykorzystane do kradzieży kryptowalut przechowywanych na platformie.
Zobacz również: Bitcoin spada do 7400 USD. Kurs BTC testuje istotny poziom wsparcia
Adresy kryptowalut są długie i trudne do zapamiętania, dlatego ludzie zazwyczaj kopiują adres do schowka Windowsa, a następnie wklejają je do innej aplikacji w celu przeniesienia kryptowaluty. Gdy trojan wykryje, że adres jest kopiowany do schowka, zastąpi go nowym, a skradziony wykorzysta do sprzedaży wirtualnych walut.
