Allcome kommt zum Einsatz, wenn Nutzer:innen Geld über Paypal senden und hierfür die Empfängeradresse aus einer Mail in das entsprechende Feld kopieren. Die Malware ersetzt in dem Fall die Adresse durch eine falsche Adresse, an die dann das Geld umgeleitet wird, wenn der Bezahlende nicht aufpasst. Ähnlich funktioniert das Ganze im Zusammenhang mit der Übertragung von Beträgen in Kryptowährungen.
Verbraucher:innen sollten daher vorsichtig sein, wenn ein unübliches Verhalten der Zwischenablage bemerkt wird, zum Beispiel dann, wenn sich beim Einfügen eine Mailadresse plötzlich ändert. Es sei sinnvoll, gerade bei Zeichenreihen, wie sie im Kryptoumfeld eingefügt werden, genau zu prüfen, ob diese mit dem Original identisch sind.
Routine im Hintergrund: So funktioniert Allcome
Ein Blogbeitrag des Bochumer IT-Security-Unternehmens zeigt einige interessante Details: Demnach handelt es sich bei Allcome um ein relativ kleines (120 Kilobyte) C/C++ natives Programm. Alle aktuellen Versionen kopieren sich dabei selbst in die %LOCALAPPDATA%\CrashDumps\subst.exe und richten eine geplante Aufgabe ein, um den Clipper einmal pro Minute auszuführen. Im Folgenden arbeitet Allcome wie andere Clipbanker und ersetzt Adressen zu Krypto-Wallets durch die Adresse des Angreifers, sodass Transaktionen in dessen Wallet umgeleitet werden. Analog funktioniert das mit Mailadressen für Paypal-Konten sowie für Steam-Handelsangebots-URL. Prinzipiell sind auch beliebige andere Handelsformen respektive deren Daten denkbar.
Der Inhaltsprüfungs- und Ersetzungscode erweist sich dabei laut G-Data als ziemlich einfach: Denn der Clipper prüft offenbar nur die Länge von Zeichenketten plus ein oder zwei Zeichen (meistens den Anfang der Zeichenkette). Er interessiert sich demnach nicht für die Herkunft des Inhalts und versucht erst gar nicht, eine falsche Ersetzung von Zwischenablageinhalten zu vermeiden. Etwa bei Paypal: Wenn diese Option verwendet wird, wird jede Zeichenfolge, die das At-Zeichen und einen Punkt beinhaltet, durch die E-Mail des Angreifers ersetzt. Übrigens funktioniert das auch, wenn jemand lediglich eine Mail schreibt, sodass User infizierter Systeme gegebenenfalls auch früher erkennen, dass hier etwas nicht stimmt.
Aufgerüstet haben die Cyberkriminellen nach den Worten der Sicherheitsexperten von G-Data auch im Hinblick aufs Marketing. Die Marketingkampagnen und -materialien rund um Allcome seien aufwändig gestaltet und der Anbieter lockt mit einem attraktiven Preismodell – ab 25 Euro im Monat – sowie der Möglichkeit, eigene Anpassungen vorzunehmen. Auch wenn es sich bisher lediglich um eine unter Windows existente Malware handelt, ist nicht auszuschließen, dass diese in Zukunft auch auf anderen Systemen oder Oberflächen auftaucht.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team