Allcome kommt zum Einsatz, wenn Nutzer:innen Geld über Paypal senden und hierfür die Empfängeradresse aus einer Mail in das entsprechende Feld kopieren. Die Malware ersetzt in dem Fall die Adresse durch eine falsche Adresse, an die dann das Geld umgeleitet wird, wenn der Bezahlende nicht aufpasst. Ähnlich funktioniert das Ganze im Zusammenhang mit der Übertragung von Beträgen in Kryptowährungen.

Verbraucher:innen sollten daher vorsichtig sein, wenn ein unübliches Verhalten der Zwischenablage bemerkt wird, zum Beispiel dann, wenn sich beim Einfügen eine Mailadresse plötzlich ändert. Es sei sinnvoll, gerade bei Zeichenreihen, wie sie im Kryptoumfeld eingefügt werden, genau zu prüfen, ob diese mit dem Original identisch sind.

Ein Blogbeitrag des Bochumer IT-Security-Unternehmens zeigt einige interessante Details: Demnach handelt es sich bei Allcome um ein relativ kleines (120 Kilobyte) C/C++ natives Programm. Alle aktuellen Versionen kopieren sich dabei selbst in die %LOCALAPPDATA%\CrashDumps\subst.exe und richten eine geplante Aufgabe ein, um den Clipper einmal pro Minute auszuführen. Im Folgenden arbeitet Allcome wie andere Clipbanker und ersetzt Adressen zu Krypto-Wallets durch die Adresse des Angreifers, sodass Transaktionen in dessen Wallet umgeleitet werden. Analog funktioniert das mit Mailadressen für Paypal-Konten sowie für Steam-Handelsangebots-URL. Prinzipiell sind auch beliebige andere Handelsformen respektive deren Daten denkbar.

Der Inhaltsprüfungs- und Ersetzungscode erweist sich dabei laut G-Data als ziemlich einfach: Denn der Clipper prüft offenbar nur die Länge von Zeichenketten plus ein oder zwei Zeichen (meistens den Anfang der Zeichenkette). Er interessiert sich demnach nicht für die Herkunft des Inhalts und versucht erst gar nicht, eine falsche Ersetzung von Zwischenablageinhalten zu vermeiden. Etwa bei Paypal: Wenn diese Option verwendet wird, wird jede Zeichenfolge, die das At-Zeichen und einen Punkt beinhaltet, durch die E-Mail des Angreifers ersetzt. Übrigens funktioniert das auch, wenn jemand lediglich eine Mail schreibt, sodass User infizierter Systeme gegebenenfalls auch früher erkennen, dass hier etwas nicht stimmt.

Aufgerüstet haben die Cyberkriminellen nach den Worten der Sicherheitsexperten von G-Data auch im Hinblick aufs Marketing. Die Marketingkampagnen und -materialien rund um Allcome seien aufwändig gestaltet und der Anbieter lockt mit einem attraktiven Preismodell – ab 25 Euro im Monat – sowie der Möglichkeit, eigene Anpassungen vorzunehmen. Auch wenn es sich bisher lediglich um eine unter Windows existente Malware handelt, ist nicht auszuschließen, dass diese in Zukunft auch auf anderen Systemen oder Oberflächen auftaucht.