Cybercriminelen hebben een geavanceerde malwarecampagne opgezet waarbij vertrouwde platforms als GitHub, SourceForge, YouTube en VirusTotal worden ingezet om schadelijke software legitiem te laten lijken. Volgens nieuw onderzoek van cybersecuritybedrijf Check Point zijn vooral cryptobeleggers en online gokkers het doelwit. De aanvallers lokken slachtoffers met software die snelle winsten belooft, maar in werkelijkheid is ontworpen om cryptovaluta te stelen.
Volgens Check Point verspreidden de criminelen verschillende programma’s die gebruikers zouden helpen bij het handelen in crypto of het voorspellen van online gokresultaten. Het ging onder meer om zogeheten sniperbots voor crypto en tools die beweerden uitkomsten van populaire gokspellen te kunnen voorspellen.
Na installatie bleek de software echter malware te bevatten die specifiek gericht was op het onderscheppen van cryptotransacties. De malware gebruikt een techniek die bekendstaat als een clipper. Daarbij controleert het programma continu het klembord van een computer op wallet-adressen.
Wanneer een gebruiker een wallet-adres kopieert om cryptovaluta te versturen, vervangt de malware dit ongemerkt door een adres van de aanvallers. Het slachtoffer denkt vervolgens een normale transactie uit te voeren, terwijl de cryptomunten rechtstreeks naar criminelen worden gestuurd.
De onderzoekers ontdekten meer dan 15.500 wallet-adressen die door de malware werden gebruikt. Daaronder bevonden zich adressen voor Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Dogecoin (DOGE), Cardano (ADA) en Litecoin (LTC).
Volgens Check Point worden deze adressen regelmatig vervangen zodra een succesvolle diefstal heeft plaatsgevonden. Daardoor wordt het voor onderzoekers aanzienlijk lastiger om geldstromen op de blockchain te volgen.
Wat deze campagne bijzonder maakt, is de manier waarop de aanvallers vertrouwen proberen op te bouwen. De malware werd gehost op GitHub en SourceForge, platforms die normaal gesproken worden gebruikt voor legitieme softwareprojecten.
Om de software betrouwbaar te laten lijken, manipuleerden de criminelen verschillende reputatiesystemen. Zo werden GitHub-sterren, forks, gebruikersbeoordelingen en downloadcijfers kunstmatig opgevoerd. Ook verschenen er positieve reacties op VirusTotal waarin gebruikers beweerden dat de software veilig was.
Daarnaast ontdekten onderzoekers een netwerk van samenwerkende GitHub-accounts die elkaar actief ondersteunden. Deze zogenaamde “Ghost Networks” gaven elkaars projecten sterren, verschenen als bijdragers en promootten repositories om de indruk te wekken dat het om populaire software ging.
Volgens Check Point laat deze aanpak zien hoe cybercriminelen steeds professioneler te werk gaan bij het misleiden van potentiële slachtoffers.
De onderzoekers zagen dat de campagne aanzienlijk bereik wist op te bouwen. Alleen via GitHub werden meer dan 5.000 downloads geregistreerd.
Een opvallend voorbeeld was Aviator Predictor, een programma dat beweerde de uitkomst van het populaire online spel Aviator te kunnen voorspellen. De macOS-versie van deze software werd meer dan 1.250 keer gedownload.
Ook op SourceForge vielen de cijfers op. Daar werden ruim 44.000 downloads geregistreerd. Een groot deel daarvan leek afkomstig uit Pakistan en India. Opvallend genoeg kwamen meer dan 37.000 downloads van Android-apparaten, terwijl de software uitsluitend beschikbaar was voor Windows en macOS.
Volgens Check Point kan dit wijzen op het gebruik van een apparaatfarm. Daarbij worden grote aantallen geautomatiseerde apparaten ingezet om downloadcijfers kunstmatig op te blazen en software populairder te laten lijken.
De promotie beperkte zich niet tot softwareplatforms. De aanvallers beheerden ook een YouTube-kanaal met meer dan 91.000 abonnees. Daar verschenen video’s waarin de programma’s werden gedemonstreerd door een AI-gegenereerde presentator.
Door schermopnames te combineren met kunstmatig gegenereerde presentatoren ontstond volgens de onderzoekers een geloofwaardige indruk van legitimiteit. Daarnaast werden promotionele artikelen geplaatst op diverse nieuwswebsites om de campagne extra bereik te geven.
Check Point waarschuwt dat cybercriminelen steeds vaker gebruikmaken van reputatiesystemen, sociale media en AI-content om vertrouwen te winnen. Daardoor wordt het voor consumenten moeilijker om legitieme software te onderscheiden van schadelijke programma’s.
Tijdens de G7-top in het Franse Évian-les-Bains spraken de lidstaten hun “diepe bezorgdheid” uit over de militaire activiteiten van Noord-Korea.
Blockchainproject Aztec is opnieuw gehackt. In minder dan een week verloor het ecosysteem ruim 4 miljoen dollar via verouderde systemen.
Cybersecurityonderzoekers hebben malware ontdekt in downloads van Steam Workshop, het populaire platform van gamewinkel Steam.
Canadese tiener bekent crypto-oplichting van 13 miljoen dollar en gaf gestolen geld uit aan luxe auto’s en privéjets.
De Bitcoin koers houdt stand rond cruciale steun, terwijl Newsbit-analist Juffermans een mogelijke bodem later dit jaar verwacht.
Goud is opnieuw stevig aan het dalen, terwijl Wall Street optimistisch blijft. Komt er later dit jaar alsnog een grote stijging aan?
