Foto: Ivan Zelenin/Shutterstock
Er is weer een nieuwe scam opgedoken in het cryptolandschap. Deze keer heeft het te maken met de populaire app Zoom. Er wordt gebruik gemaakt voor een nieuwe vorm van malware die zich voordoet als een Zoom-installatiebestand. Deze malware richt zich specifiek op het stelen van crypto door gebruikers te misleiden en hun digitale wallets te compromitteren.
Neppe Zoom-app steelt cryptogegevens
Wanneer de nep-Zoom-app wordt geopend, lijkt het alsof de applicatie vastloopt tijdens het laden. In werkelijkheid werkt de malware op de achtergrond om toegang te krijgen tot gevoelige informatie, zoals inloggegevens voor cryptowallets. Deze gegevens worden vervolgens naar de aanvallers gestuurd, die de accounts kunnen plunderen.
Het begint als men op een malafide Zoom-link klikt, waarbij er vervolgens wordt begonnen met het laden van een meeting. Maar dit zal oneindig doorgaan. Vervolgens wordt er voorgesteld om een nep-installatiebestand te downloaden genaamd ZoomInstallerFull.exe. Wanneer het bestand is geïnstalleerd, wordt de gebruiker teruggestuurd naar de officiële website van Zoom. Daardoor hebben nietsvermoedende gebruikers niets in de gaten.
Terwijl het installatieproces is afgerond, blijft de malware op de achtergrond actief. Tijdens dit proces worden de persoonlijke gegevens en inloggegevens van de gebruiker gestolen. Daarbij is de malware gericht op het stelen van de gegevens van apps in je browser, zoals MetaMask, Binance Chain Wallet en Coinbase Wallet.
Gisteren meldde de cybersecurity engineer NFT_Dreww de scam voor het eerst. Op zijn X-account (voorheen Twitter) legde hij nog maar eens uit hoe ingewikkeld deze oplichtingswijze in elkaar zat.
“Het is extreem makkelijk om hierin te trappen… Ik betwijfel of 80% van de mensen elk teken in een verstuurde link verifiëren, vooral een Zoom-link.”
Malware richt zich op jouw cryptowallet
Veel crypto-investeerders maken gebruik van deze browserwallets voor het beheren van hun cryptocurrencies. Bekende wallets zoals MetaMask en Binance Chain Wallet zijn specifieke doelwitten. De malware kan ook tweefactorauthenticatie (2FA) extensies aanvallen, wat de veiligheid van deze wallets nog verder ondermijnt.
Wat de scam nog ingewikkelder maakt is dat bij de installatie het bestand zich automatisch uitsluit bij de Windows Defender. Zo herkent de antivirussoftware niet dat het bestand gevaarlijk is. Dat liet gebruiker ‘Cipher0091’ weten, die Drew ook al aanhaalde in zijn X-post.
Zodra de malware de systeemgegevens van de gebruiker heeft bemachtigd, zoals private keys en wallet-adressen, stuurt het deze informatie naar de server van de aanvaller. Dit stelt de aanvaller in staat om de crypto van de gebruiker te stelen zonder dat de gebruiker dit in de gaten heeft.
Tot slot doen de oplichters er alles aan om uit de handen van de autoriteiten te blijven. Zo veranderen ze continu hun domeinnaam om niet herkend en achterhaald te worden. In het geval van de Zoom-scam is dit al de vijfde domein die aangemaakt is. Wees daarom goed op de hoede, en check goed of je via de officiële website opereert. De schade die tot nu toe is aangericht, is onbekend.
