De cryptovaluta-gekte is nog steeds in volle gang en steeds meer mensen investeren in Bitcoins en in enkele van de vele honderden altcoins. Er zijn inmiddels zoveel van deze alternatieve munten dat je door de bomen het bos niet meer ziet. Omdat de laatste tijd veel van deze munten ook daadwerkelijk in waarde zijn gestegen, zetten mensen in op veel verschillende coins.

Waar echter niet door iedereen rekening mee wordt gehouden is dat veel van deze altcoins door de community ook wel shitcoins worden genoemd. Er zit geen bedrijf met een goed plan achter, de achterliggende techniek stelt niets voor of het is een kopie van een bestaande blockchain met een ander naampje.

Sommige criminelen gaan nog een stuk verder. Die "bedenken" een nieuwe cryptocoin en lokken gebruikers naar hun website waar zij een wallet kunnen downloaden. Deze wallet is echter malware die vooral schade aanricht of probeert belangrijke data en wallets van slachtoffers te ontfutselen. Wij schreven gisteren al over de SpriteCoin, een nepmunt waar een client bij hoorde die gebruikers besmette met ransomware.

Er zijn helaas meer cryptomunten die gebruikers op deze manier belazeren. Vandaag kijken wij naar 4 voorbeelden van cryptomunten die eigenlijk helemaal niet bestaan of puur in het leven zijn geroepen om gebruikers malware te laten downloaden.

TraderCoin (TDC)

Deze cryptomunt werd in 2013 geïntroduceerd en werd neergezet als een coin waarmee gebruikers makkelijk en snel geld konden verdienen. Helaas bleek de client een Trojaans paard te zijn. De malware registreert je toetsaanslagen en verzamelt (Bitcoin-) wallets en wachtwoorden.

Gelukkig vielen de criminelen al snel door de mand, al waren er nog aardig wat slachtoffers die zich meldden op het Bitcointalk-forum. De originele thread is helaas niet meer te vinden (ook niet via The Wayback Machine), maar de "munt" is dood en begraven.

Gek genoeg is er jaren later een legitieme TraderCoin (TRDR) gelanceerd, maar wij betwijfelen dat deze echt heel populair wordt aangezien veel mensen nog de associatie hebben met de oplichters. Deze coins mogen niet worden verward met de legitieme cryptomunt, TradersCoin (TRDC).

TheCoin (THC)

Ook deze cryptomunt werd geleverd met een keylogger en munt/wallet stelende software. TheCoin werd in 2013 aangekondigd op het Bitcointalk forum en gebruikers lieten weten gecharmeerd te zijn van de naam en het bijbehorende logo. De positieve reacties werden al gauw afgewisseld met klachten over blue screen of deaths en het missen van DLL-bestanden.

Niet veel later kwamen gebruikers erachter dat er opeens transacties werden gemaakt vanuit hun wallets naar andere onbekende adressen. Niet veel later bleek de wallet (client) dus niets meer dan een Tojaans paard te zijn en gebruikers konden fluiten naar hun geld.

Naast het feit dat deze coin door verschillende gebruikers werd gezien als een ripoff van Weedcoin en Potcoin, was het ook al verdacht dat er met geen woord werd gerept over de technologie die gebruikt werd of dat er werd uitgelegd waarom deze coin überhaupt de moeite waard was, blijkbaar is het hebben van een mooie naam en een hip logo voor sommige mensen al genoeg.

© Bitcointalk.org

JunnonCoin (JNC)

De makers van JunnonCoin gingen nog een stapje verder. Deze cryptomunt werd in het begin van 2014 uitgebracht en kon daadwerkelijk gemined worden. Er waren verschillende wallet-clients beschikbaar voor Windows en Linux. De Windows-versie bevatte echter een trojan die je browserinstellingen aanpast en slachtoffers doorstuurt naar alternatieve (phishing sites), daarnaast ging de malware op zoek naar andere wallets en stuurde deze naar de makers.

De ingebouwde keylogger werd gebruikt om ingetypte wachtwoorden te koppelen aan de gestolen wallets zodat deze leeggehaald konden worden. Als klap op de vuurpijl werd er ook nog eens een remote-desktop-backdoor geïnstalleerd zodat criminelen de computers op afstand konden besturen.

Gelukkig vielen de criminelen al snel door de mand. "Stock-afbeelding voor een logo? Een .tk-domein voor een officiële site? Yep, dit is absoluut geen copy-paste shitcoin" grapt een forumgebruiker.

De mensen achter de JunnonCoin leken niet echt goed hun best te hebben gedaan omdat veel virusscanners de client al direct herkenden als malware, iets dat bij de eerder genoemde munten niet het geval was. De blockchain is inmiddels offline evenals de website. Tenminste, wie nu naar de website navigeert krijgt een nep-foutmelding voor z'n kiezen waarin gebruikers wordt aangespoord DNS-instellingen te wijzigen "voor sneller internet". Het lijkt erop dat de criminelen zelfs nadat ze door de mand zijn gevallen nog proberen een slaatje te slaan uit deze tegenslag.

NerdCoin (NERD)

De zoveelste nep-coin die gegenereerd is via de "bouw-je-eigen-cryptomunt"-website coingen.io. Ook deze criminelen deden niet erg veel moeite hun malafide bedoelingen te verbergen. Het standaard QT-pakket dat bij veel van deze clients was veel groter dan bij andere coins, wat voor sommige gebruikers al een teken was dat er iets niet in de haak was. Het feit dat deze coin het zoveelste resultaat is van een cryptomunt-bouwpakket is, hielp ook niet mee de achterdocht te verminderen.

De argwaan bleek terecht toen verschillende virusscanners de Siggen6-trojan detecteerde. Deze malware past verschillende bestanden en registersleutels aan en stuurt informatie door naar verschillende servers. Het is niet bekend welke informatie precies wordt verzameld.