l + f: De kleptomaan cliptomaan | heise online


Kwaadaardige code die op buitenlandse computers naar cryptocurrencies graaft of deze probeert te stelen, bestaat al heel lang. De “Cliptomaner”, die sinds september vorig jaar in omloop is, heeft dat niet nodig: de malware vertrouwt liever op “vrijwillige” Bitcoin-overdrachten naar zijn makers. Om dit te doen, controleert en manipuleert het het klembord van geïnfecteerde Windows-systemen.

Een huidige Tweet van een beveiligingsonderzoeker Volgens Cliptomaner registreert hij wanneer zijn slachtoffer een Bitcoin-adres kopieert (iets met Ctrl + C of met een rechtermuisknop en “kopiëren”) naar het klembord om het te gebruiken in de loop van een transactie via kopiëren en plakken. Vervolgens vervangt het het adres op het klembord door een Bitcoin-adres van de ontwikkelaar van kwaadaardige code. Van sommige varianten wordt gezegd dat ze zich in plaats daarvan op de Monero-valuta richten.

Wat bijzonder perfide is, is dat sommige nietsvermoedende gebruikers waarschijnlijk niet de moeite nemen om nog een keer te kijken naar de reeks alfanumerieke tekens die zojuist is gekopieerd. En dat de overdracht actief wordt gedaan door de (nietsvermoedende) gebruiker.

Als reactie op de tweet van de onderzoeker wees een andere Twitter-gebruiker op een nieuwsgierige Bugrapport voor de grafische gebruikersinterface “Dear ImGui” die in april van dit jaar is gemaakt. Daarin beschreef een gebruiker een vermeend kopieer- en plakprobleem in verband met het programma.

De hier beschreven “brabbeltekst” was een van de Bitcoin-adressen van Cliptomaner.

(Afbeelding: schermafbeelding)

De ontwikkelaars twijfelden een tijdje over de oorzaak van het probleem. Uiteindelijk was de oplossing een nogal domme bug in Cliptomaner, die zich op het systeem in kwestie had gevestigd: de kwaadaardige code had de testreeks “111111111111111111111111111111111111 n” onjuist geïdentificeerd in het klembord met zijn 34 tekens als Bitcoin-adressen en vervangen door een. “Dus eigenlijk heb ik zojuist een bug in het domme virus gevonden”, merkte een van de ontwikkelaars op.


(ovw)





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: