Malware in nep Office extensies steelt crypto van gebruikers

Crypto gebruikers moeten opnieuw op hun hoede zijn. Volgens Kaspersky is er een nieuwe vorm van malware opgedoken die het gemunt heeft op mensen die cryptocurrency gebruiken. De malware zit verstopt in valse Microsoft Office extensies die worden aangeboden via SourceForge, een populaire site voor softwaredownloads.

Deze nep add-ins lijken legitiem, maar doen achter de schermen iets verraderlijks: ze vervangen automatisch gekopieerde wallet adressen met dat van de aanvaller.

Cryptocurrency is verkrijgbaar bij Bitvavoen Bybit.

Slimme truc met gekopieerde walletadressen

De kwaadaardige software maakt gebruik van een methode die clipboard hijacking wordt genoemd. In plaats van zelf een walletadres in te typen, kopiëren de meeste mensen simpelweg het adres naar hun klembord. Precies daar grijpt de malware in. Zodra een slachtoffer een walletadres kopieert, vervangt de malware dit ongemerkt met het adres van de aanvaller. Hierdoor komt de crypto uiteindelijk bij de verkeerde persoon terecht.

Cybersecurity bedrijf Kaspersky ontdekte dat deze malware verborgen zit in zogenaamde Microsoft Office add-ins op SourceForge. Eén van de pakketten, met de naam “officepackage”, bevat echte extensies maar is vermomd met kwaadaardige code. De nepsoftware installeert de ClipBanker trojan, die crypto wallet adressen onderschept.

🚨 ALERT: A malware disguised as Microsoft Office add-ins on SourceForge is targeting crypto users with a dangerous clipboard-hijacking technique, according to Kaspersky. The malware replaces copied crypto wallet addresses with the attacker's address, leading to funds being sent…

— Cointelegraph (@Cointelegraph) · April 9, 2025

Volgens Kaspersky stuurt de malware ook informatie zoals IP adres, locatie en gebruikersnaam van het slachtoffer naar hackers via Telegram. Daarnaast controleert het of het systeem al eerder besmet is of beveiligingssoftware draait, en wist zichzelf indien nodig automatisch.

Malware vooral actief in Rusland

Kaspersky meldt dat de malware zich in eerste instantie richt op Russische gebruikers. In de periode tussen januari en eind maart zijn meer dan 4600 pogingen tot infectie ontdekt in Rusland. Toch is het goed mogelijk dat de campagne zich uitbreidt naar andere regio’s, zeker als crypto gebruikers blijven zoeken naar alternatieve downloads buiten officiële bronnen.

Opvallend is dat sommige bestanden in het nep downloadpakket erg klein zijn, wat verdacht is omdat Office toepassingen normaal gesproken veel groter zijn. Andere bestanden worden juist kunstmatig vergroot met onnodige data om betrouwbaarder over te komen.

Behalve het stelen van crypto kan toegang tot het geïnfecteerde systeem ook worden doorverkocht aan andere cybercriminelen. Kaspersky waarschuwt dan ook om alleen software te downloaden via betrouwbare en officiële platforms.