Microsoft waarschuwt voor een opkomende dreiging die zich richt op op internet aangesloten cryptocurrency-portefeuilles, wat aangeeft dat er een einde komt aan het gebruik van digitale munten bij cyberaanvallen.
De technologiegigant noemde de nieuwe dreiging ‘cryware’, waarbij de aanvallen resulteerden in de onomkeerbare diefstal van virtuele valuta door middel van frauduleuze overboekingen naar een door een tegenstander gecontroleerde portemonnee.
“Cryware zijn informatie-stealers die gegevens rechtstreeks verzamelen en exfiltreren uit niet-bewarende cryptocurrency-portefeuilles, ook wel bekend als hete portemonnees,” Berman Enconado en Laurie Kirk van het Microsoft 365 Defender Research Team zei in een nieuw rapport.
“Omdat hot wallets, in tegenstelling tot bewaarportefeuilles, lokaal op een apparaat worden opgeslagen en gemakkelijker toegang bieden tot cryptografische sleutels die nodig zijn om transacties uit te voeren, richten steeds meer bedreigingen zich op hen.”
Dergelijke aanvallen zijn niet theoretisch. Eerder dit jaar maakte Kaspersky een financieel gemotiveerde campagne bekend die was opgezet door de in Noord-Korea gevestigde Lazarus Group, waarbij cryptobedrijven werden getarget met malware die is ontworpen om geld uit hot wallets te halen.
Cryware omvat de volgende bedreigingen –
- Cryptojackers die heimelijk de apparaatbronnen van een doelwit gebruiken om cryptocurrency te minen
- Ransomware campagnes die gebruik maken van cryptocurrency als losgeld om detectie te voorkomen
- Informatie stelen (bijv. Mars Stealer, RedLine Stealer, Arkeien Raccoon) die steeds vaker worden geüpgraded om hot wallet-gegevens over te hevelen naast andere waardevolle informatie die in het systeem is opgeslagen, en
- ClipBankers (ook bekend als clippers) die cryptocurrency stelen tijdens transacties door het klembord te controleren en het oorspronkelijke portemonnee-adres te vervangen door het adres van de aanvaller
Dergelijke aanvallen op het stelen van informatie zijn bedoeld om hot wallet-gegevens te extraheren, zoals privésleutels, seed-frases en portemonnee-adressen, waardoor de dreigingsactor malafide transacties kan starten en geld naar een andere portemonnee kan verplaatsen.
Als alternatief is ook waargenomen dat cybercriminelen gebruikmaken van technieken zoals geheugendumping om de privésleutels in platte tekst weer te geven, keylogging om toetsaanslagen vast te leggen die door een slachtoffer zijn ingevoerd, of het ontwerpen van vergelijkbare portemonnee-websites om gebruikers te misleiden om hun privésleutels in te voeren.
Om dergelijke bedreigingen te beperken, raadt Microsoft gebruikers en organisaties aan om hot wallets te vergrendelen wanneer ze niet handelen, sites die met een wallet zijn verbonden los te koppelen, privésleutels niet in platte tekst op te slaan en de waarde van het wallet-adres te verifiëren bij het kopiëren en plakken van de informatie.
“Cryware betekent een verschuiving in het gebruik van cryptocurrencies bij aanvallen: niet langer als middel tot een doel, maar als doel zelf”, aldus de onderzoekers.
