Er is een nieuwe Remote Access Trojan (RAT) gevonden die het gemunt heeft op Bitcoin en Litecoin wallet-gegevens. Hierdoor lopen eigenaren van geïnfecteerde computers een verhoogde kans op diefstal.

Dit rapporteerden beveiligingsresearchers van Zscaler TheatLabZ. De Remote Access Trojan, tot de naam InnfiRAT gedoopt, is ontworpen om een veelvoud van taken uit te voeren op de geïnfecteerde machines. Het hoofddoel is echter om op zoek te gaan naar gegevens over Bitcoin- en Litecoin-wallets.

De werking van InnfiRAT

Zoals de researchers omschrijven is InnfiRAT geschreven in .NET. Een software framework ontwikkeld door Microsoft en gebruikt om een verscheidenheid aan applicaties te besturen. De malware is gemaakt om toegang te verkrijgen tot computers en om persoonlijke informatie te bemachtigen die op de geïnfecteerde computers aanwezig is.

Niet alleen browser cookies, maar ook opgeslagen gebruikersnamen, wachtwoorden en data van programma’s liggen voor het oprapen. InnfiRAT kan ook screenshots nemen om informatie van lopende windows-sessies te bemachtigen en zoekt ondertussen het systeem af, op zoek naar andere applicaties die het zou kunnen infecteren. Ook computers in hetzelfde netwerk lopen daardoor een groot risico.

Nadat de data is verzameld, wordt deze naar een ‘command-and-control’ (C&C) server verstuurd, waar de hacker de informatie vervolgens van kan downloaden. Zscaler ThreatLab legt uit hoe het werkt:

De malware maakt een lege lijst van de BitcoinWallet aan, waar deze twee sleutels heeft, namelijk WalletArray en WalletName. Er vindt een check plaats om te zien of er een file voor een Litecoin of Bitcoin wallet is geïnstalleerd op één van de volgende locaties: %AppData%\Litecoin\wallet.dat of %AppData%\Bitcoin\wallet.dat. Wanneer er op één van beide locaties data wordt gevonden, wordt deze overgezet naar de C&C-server.

Naast het specifiek achterhalen van de wallet-informatie kan een RAT, dus ook InnfiRAT, ook toetsenbordaanslagen registreren, een webcam activeren, harde schijven kopiëren of formatteren en op elk geïnfecteerd netwerk ook de andere computers innemen. Let dus extra op de beveiliging van je computer, je netwerk en je internetverbinding.