Blev av med Bitcoin p.g.a. Malware - Varning

2022-06-30 07:43

Medlem ★

Registrerad: Dec 2003

●

Blev av med Bitcoin p.g.a. Malware - Varning

Hej! Jag skulle köpa lite bitcoin igår från coinbase o när jag ska skicka dom vidare kopierar jag mitt btc-konto, klistrar in i rutan o klickar skicka.

Pengarna kommer aldrig fram. När jag kollar send-historiken så ser jag att en annan adress matats in istället för min.

När jag kör lite virus o malware-skannar så upptäcker jag att jag har två st powershell öppna i processhanteraren som inte syns i aktivitetsfältet.

Vad som startade dessa har jag inte aning om men dom anropade mail-endpoint.com som verkar vara en farlig sida.

Så detta gjorde ont, och jag har lärt mig en läxa. Tänkte dela med mig till övriga intresserade.

Eventuella "skyll dig själv" osv. undanbedes. Tack

Rubrik förtydligad. // MOD

Visa signatur

Gigabyte RTX 3070 | Samsung 980 | AMD 5950x
32GB 3600MHz CL14 | Corsair RM850X | ASUS ROG CROSSHAIR VIII DARK HERO
Skärm: Acer 27" ConceptD CP3271KP IPS 4K HDR 144 hz

Skriv gärna ett svar om ditt problem löste sig.

Rapportera Redigera

Citera flera Citera (14)

2022-06-30 07:49

Medlem ★

Registrerad: Okt 2015

●

Tråkigt. Hoppas det inte var en betydande summa pengar.

Rapportera Redigera

Citera flera Citera (2)

2022-06-30 08:14

Medlem ★

Registrerad: Aug 2008

●

Får man fråga vilken summa den handlade om?

Visa signatur

🖥️ Fractal Design Node 804 • Asrock Fatal1ty X99M Killer • Intel 5820K • Noctua NH-U12S • Corsair Vengeance 16GB • Gigabyte GTX 970 • be quiet! Dark Power Pro 550w • 2x Intel 520 120GB • 2x 1TB • 1x 3TB
💻 Microsoft Surface Pro (8GB/128GB)
 iPhone 11 64GB 🎧 SONY WH-1000XM3
🎵📲 SONY NW-ZX300 64GB [Region changed & Mr Walkman custom firmware loaded] + 256GB xtra • Audio Technica ATH-M50X

Rapportera Redigera

Citera flera Citera (1)

2022-06-30 08:18

Medlem ★

Plats: Cyberspace
Registrerad: Aug 2018

●

Hackers are hijacking copy and paste to steal millions of dollars in cryptocurrency
https://www.techradar.com/news/hackers-are-hijacking-copy-and...

Visa signatur

Nerd is the new Cool

Rapportera Redigera

Citera flera Citera (6)

2022-06-30 08:22

Medlem ★

Plats: Snåland
Registrerad: Jan 2015

●

Hittade dina Antivirus det, eller var det manuellt du hittade det tillslut?

Visa signatur

Har jag uppgivit felaktig information? Rätta mig gärna, jag vet inte allt och kan ha fel.

Rapportera Redigera

Citera flera Citera (3)

2022-06-30 08:51

Medlem ★

Plats: Göteborg
Registrerad: Dec 2007

●

Vet du hur du blev infekterad? Tankat något konstig cryptomojs?

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Rapportera Redigera

Citera flera Citera (1)

2022-06-30 09:06

Medlem ★

Plats: Skåne
Registrerad: Dec 2020

●

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Visa signatur

Intel i7 10700KF (Noctua NH-D15) | Asus RADEON RX 7900 XTX TUF | 32 GB DDR4 HyperX Fury | Corsair RM1000X | Fractal Design R3 | Arch Linux, Win11

Rapportera Redigera

Citera flera Citera (6)

2022-06-30 09:18

Medlem ★

Plats: Där solen aldrig skiner
Registrerad: Sep 2002

●

Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Gå till inlägget

Exakt det man bör göra! Har varit rekommendationen sedan dessa copy-paste-replacers dök upp (runt 2016 har jag för mig eller ännu tidigare). Samma med kontonr vid banköverföring, bör alltid dubbelkolla.

@frong misstänker TS har laddat ner en mining-klient från halvskum sida som hävdade 0% devfee. Så har det brukat gått till förut iallafall.

Visa signatur

MSI K9N SLI Diamond | MSI Diamond HDMI 7600GT | AMD X2 4200+ | 1GB Kingston HyperX| 32" LG 5000:1 screen | Asus EeePC 701

Rapportera Redigera

Citera flera Citera (1)

2022-06-30 09:26

Medlem ★

Plats: Göteborg
Registrerad: Sep 2009

●

Sofistikerad attack, svårt att upptäcka.
Vet att det finns folk som kör QubesOS (https://www.qubes-os.org/) för att minska risken för sådana attacker.
Tanken är att köra flera OS på samma gång i virtuella maskiner. Varav en dedikerad maskin kan används till endast bankärenden, isolerad för övrigt arbete. Alltså en maskin per uppgift eller typ av uppgift för att skapa isolation. Att switcha enkelt mellan olika maskiner skall vara en del av Qubes.

Rapportera Redigera

Citera flera Citera (2)

2022-06-30 09:31

Inaktiv

Registrerad: Dec 2017

●

Skrivet av cp_:

Sofistikerad attack, svårt att upptäcka.
Vet att det finns folk som kör QubesOS (https://www.qubes-os.org/) för att minska risken för sådana attacker.
Tanken är att köra flera OS på samma gång i virtuella maskiner. Varav en dedikerad maskin kan används till endast bankärenden, isolerad för övrigt arbete. Alltså en maskin per uppgift eller typ av uppgift för att skapa isolation. Att switcha enkelt mellan olika maskiner skall vara en del av Qubes.

Gå till inlägget

Om jag inte missminner mig öppnar Qubes varje app som en isolerad sandbox. Finns ingen mening med att ha honeypot-os för att den du aktivt använder ska komma undan - de ska inte ha åtkomst till maskinen öht.

Oavsett så är det en bedrift i sig att bli infekterad på det här sättet. Inget som händer om du sitter bakom en brandvägg och inte laddar ner konstiga saker.

Rapportera Redigera

Citera flera Citera

2022-06-30 10:15

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Du får åtminstone glädja dig åt att ingen gammal FIAT-bank kan lägga sig i vem du skickar pengar till, eller stoppa / reversera en felaktig transaktion.

Frihet måste få kosta lite.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Rapportera Redigera

Citera flera Citera (21)

2022-06-30 10:29

Medlem ★

Plats: Göteborg
Registrerad: Feb 2013

●

Transaktionen går att spåra åtminstone. Kontakta Coinbase om detta så kan det svartlista mottagaradressen i framtiden. Har du tur så kanske du kan få dem tillbaks eller åtminstone hjälpa bedragarna att åka fast.

Visa signatur

Ryzen 5 5800X3D
Palit RTX 4090 Gamerock OC
32 GB Corsair lpx 3600mhz
Sabrent Rocket Q 2TB M.2, Kingston A2000 2TB, Kingston A400 1TB SSD, Kingston A400 1TB SSD, Segate 8TB HDD

Rapportera Redigera

Citera flera Citera (2)

2022-06-30 11:42

Medlem ★

Registrerad: Dec 2003

●

Skrivet av Zeedarn:

Hittade dina Antivirus det, eller var det manuellt du hittade det tillslut?

Gå till inlägget

Malwarebytes varnade om powershell.exe försökte öppna sidan.
Körde även avg och avast som inte sa nåt om powershell.

Windows egna system hade inga synpunkter. Alla mina system var säkra
Inkl. brandvägg osv.

Nu vet jag att inte windows säkerhet går att förlita sig på iaf. Jag har såklart mest migsjälv att skylla. Nån skit har ju uppenbarligen kommit in i datorn.

Jag har gjort många transaktioner i btc förr o det har aldrig hänt innan. Hade inte en enda aning om att det gick o göra ett sånt upplägg o blev ändå lite imponerad samtidigt som det var tråkigt att bli av med pengarna.

Visa signatur

Gigabyte RTX 3070 | Samsung 980 | AMD 5950x
32GB 3600MHz CL14 | Corsair RM850X | ASUS ROG CROSSHAIR VIII DARK HERO
Skärm: Acer 27" ConceptD CP3271KP IPS 4K HDR 144 hz

Skriv gärna ett svar om ditt problem löste sig.

Rapportera Redigera

Citera flera Citera (3)

2022-06-30 12:33

Medlem ★

Plats: Göteborg
Registrerad: Dec 2007

●

Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Gå till inlägget

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Skrivet av Aphex:

Du får åtminstone glädja dig åt att ingen gammal FIAT-bank kan lägga sig i vem du skickar pengar till, eller stoppa / reversera en felaktig transaktion.

Frihet måste få kosta lite.

Gå till inlägget

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Rapportera Redigera

Citera flera Citera (1)

2022-06-30 13:08

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

Gå till inlägget

https://www.swedbank.se/privat/betala-och-overfora/reklamera-...

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Rapportera Redigera

Citera flera Citera

2022-06-30 13:12

Medlem ★

Registrerad: Dec 2003

●

Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Kan du visa hur jag drar tillbaka Swish-betalningar hos "gamla klassiska FIAT-banker"?

@thom.g Hade du gett en miner eller liknande högre rättigheter eller exkluderat i AV?

Gå till inlägget

Nej har inte med mining att göra öht. Har inte haft några exkluderade säkerhetsrisker eller liknande.

Jag kommer ju att gå igenom detta supernoga framöver. Tänkte i min blåögda enfald att det var omöjligt att jag får in en sträng med bokstäver som är en rätt adress om det inte är den jag precis nyss kopierade.

Jag vet faktiskt inte vad för skit som orsakat detta. Kan jag kolla i några loggar vilket program som startade powershell vid ett klockslag?

Den enda skillnaden i installerade program som jag satt in sen jag köpte sist är ett som heter t-clock... tror jag iaf. Detta har jag rekommenderat åt andra också så jag hoppas verkligen inte det berodde på detta programmet...

Visa signatur

Gigabyte RTX 3070 | Samsung 980 | AMD 5950x
32GB 3600MHz CL14 | Corsair RM850X | ASUS ROG CROSSHAIR VIII DARK HERO
Skärm: Acer 27" ConceptD CP3271KP IPS 4K HDR 144 hz

Skriv gärna ett svar om ditt problem löste sig.

Rapportera Redigera

Citera flera Citera

2022-06-30 13:16

Medlem

Plats: Stockholm
Registrerad: Jan 2008

●

Skrivet av Ostbullen:

Väldigt tråkigt, beklagar. Men måste erkänna att jag fann det hela lite småfyndigt! Inte precis som att man validerar en lång textsträng man copypastat

Gå till inlägget

Kör alltid första 4 och sista 4. Kräver så lite effort och ger en enormt mycket högre säkerhet.
Sen kör jag skiljd enhet helt och hållet.

Rapportera Redigera

Citera flera Citera (2)

2022-06-30 13:31

Medlem ★

Plats: Stockholm
Registrerad: Jul 2005

●

Skrivet av frong:

Bara jag som kollar allt 10 gånger om innan jag trycker "Skicka" på crypto? Så otroligt nojig, haha.

Gå till inlägget

Nope, du är inte ensam, jag gör samma sak. Men det är kanske för att jag knappt krypto och är så oerfaren, kan tänka mig att de som gör/gjort hundratals/tusentals överföringar med kryptovalutor "slappnar av" efter ett tag - och "plötsligt händer det" fast inverterat.

Sorry TS, lider med dig. Hoppas att det inte var så stor summa iaf!

Visa signatur

Skrivet med hjälp av Better SweClockers
PC: Ryzen 9 5900X | RTX 4080 Super 16GB | G.Skill Trident Z Neo 64GB 3600MHz CL16 | 12TB NVMe SSD - 5TB SATA SSD = total 17TB SSD + Seagate IronWolf 10TB internal HDD | Synology DS920+ w/20GB RAM SHR 48TB
Skärmar: Acer Predator XB323UGX 32" 270Hz 1440p, Asus PG349Q 34" 120Hz 1440p UW, Asus PG279Q 27"
Foto: Canon 80D & 60D + Canon 17-55/2.8 IS, Canon 10-22, Canon 70-200/2.8L IS II, Canon 100/2.8L IS Macro

Rapportera Redigera

Citera flera Citera

2022-06-30 13:33

Hassel fd Jompenleet

Medlem ★

Plats: 59.274904651603705, 15.212415856509931
Registrerad: Maj 2013

●

Tycker synd om dig men jävlar vad fyndigt att ta över copy+paste funktionen genom malware. För mig som aldrig pysslat med crypto - hur långa strängar handlar det om som man kopierar och klistrar in? Är det 25 tecken eller 50? Måste vara fruktansvärt svårt att se att kodsträngen skiljer sig vid inklistring innan man klickar på Send.

Visa signatur

citera för svar
Glassbilen spelar bara när det är helt slut på glass

Rapportera Redigera

Citera flera Citera

2022-06-30 13:42

Medlem ★

Registrerad: Aug 2012

●

Skrivet av Hassel fd Jompenleet:

Tycker synd om dig men jävlar vad fyndigt att ta över copy+paste funktionen genom malware. För mig som aldrig pysslat med crypto - hur långa strängar handlar det om som man kopierar och klistrar in? Är det 25 tecken eller 50? Måste vara fruktansvärt svårt att se att kodsträngen skiljer sig vid inklistring innan man klickar på Send.

Gå till inlägget

Det kan vara allt från korta "human readable" adresser till långa strängar på över 100 karaktärer. Med tanke på hur kryptoadresser genereras är man dock väldigt safe om man kollar så början och slutet av adressen stämmer

Den här typen av virus/malware har tyvärr funnits i många år nu. Vet att redan när jag började med krypto för snart 10 år sedan fick jag lära mig att alltid dubbel- och trippelkolla adresser eftersom detta fanns redan då

(som redan nämnt i tråden används den här typen av malware även vid banköverföringar och liknande när man tror att man klistrar in en sak, men egentligen klistrar in något annat).

Rapportera Redigera

Citera flera Citera

2022-06-30 14:13

Medlem ★

Registrerad: Dec 2003

●

Skrivet av PatrickP:

Den här typen av virus/malware har tyvärr funnits i många år nu. Vet att redan när jag började med krypto för snart 10 år sedan fick jag lära mig att alltid dubbel- och trippelkolla adresser eftersom detta fanns redan då

(som redan nämnt i tråden används den här typen av malware även vid banköverföringar och liknande när man tror att man klistrar in en sak, men egentligen klistrar in något annat).

Gå till inlägget

Känns ju lite pinsamt att drabbas av nåt som varnats om i 10 år. Jag har aldrig hört om detta innan

Jag kollade adressen jag kopierade innan ja la den i sendrutan för jag inte ville ha med ett mellanslag på slutet, ifall det skulle störa ut nåt. Sen... ja ni vet resten.

EDIT: Hittade nu vad som hade orsakat mitt öde. Det var ett plugin till FL-studio som var infekterat som jag hämtat från en antagligen "dålig sida". Avast kunde hitta detta tillslut

Senast redigerat 2022-06-30 17:35

Visa signatur

Gigabyte RTX 3070 | Samsung 980 | AMD 5950x
32GB 3600MHz CL14 | Corsair RM850X | ASUS ROG CROSSHAIR VIII DARK HERO
Skärm: Acer 27" ConceptD CP3271KP IPS 4K HDR 144 hz

Skriv gärna ett svar om ditt problem löste sig.

Rapportera Redigera

Citera flera Citera (7)

2022-11-05 08:51

Medlem ★

Plats: Cyberspace
Registrerad: Aug 2018

●

En ny clipboard hijacker använder adresser som liknar offrens adresser…

https://www.bleepingcomputer.com/news/security/new-clipboard-...

”A new clipboard stealer called Laplas Clipper spotted in the wild is using cryptocurrency wallet addresses that look like the address of the victim's intended recipient.”

Visa signatur

Nerd is the new Cool

Rapportera Redigera

Citera flera Citera

2022-11-05 09:08

Medlem ★

Plats: Norrköping
Registrerad: Jan 2011

●

Skrivet av thom.g:

Malwarebytes varnade om powershell.exe försökte öppna sidan.
Körde även avg och avast som inte sa nåt om powershell.

Windows egna system hade inga synpunkter. Alla mina system var säkra
Inkl. brandvägg osv.

Nu vet jag att inte windows säkerhet går att förlita sig på iaf. Jag har såklart mest migsjälv att skylla. Nån skit har ju uppenbarligen kommit in i datorn.

Jag har gjort många transaktioner i btc förr o det har aldrig hänt innan. Hade inte en enda aning om att det gick o göra ett sånt upplägg o blev ändå lite imponerad samtidigt som det var tråkigt att bli av med pengarna.

Gå till inlägget

Så är det, det går inte att lita på nåt OS, men du har mindre risk att råka ut för sånt här på MacOS eller Linux.

Det går att skydda sig genom att man måste godkänna transaktioner via ett email där adressen ska stå. Och man kan också white-lista addresser.

Rapportera Redigera

Citera flera Citera

2022-11-05 13:21

Medlem ★

Registrerad: Dec 2003

●

Skrivet av CyberNerd:

En ny clipboard hijacker använder adresser som liknar offrens adresser…

https://www.bleepingcomputer.com/news/security/new-clipboard-...

”A new clipboard stealer called Laplas Clipper spotted in the wild is using cryptocurrency wallet addresses that look like the address of the victim's intended recipient.”

Gå till inlägget

Fyfan sjukt att det ens går att generera en adress som liknar den andra så snabbt. Detta sätter ju en helt ny nivå på paranoia när man ska skicka iväg btc.

Visa signatur

Gigabyte RTX 3070 | Samsung 980 | AMD 5950x
32GB 3600MHz CL14 | Corsair RM850X | ASUS ROG CROSSHAIR VIII DARK HERO
Skärm: Acer 27" ConceptD CP3271KP IPS 4K HDR 144 hz

Skriv gärna ett svar om ditt problem löste sig.

Rapportera Redigera

Citera flera Citera

2022-11-13 09:38

Medlem ★

Plats: Cyberspace
Registrerad: Aug 2018

●

Ett sätt att minska risken är att använda en dedikerad linux-dator som bara är kopplad till internet när man ska skicka krypto. Kan köpa en billig begagnad laptop från inrego.se eller reuseit.se och installera Ubuntu med fulldisk-kryptering.

Visa signatur

Nerd is the new Cool

Rapportera Redigera

Citera flera Citera

2023-03-30 10:58

Medlem

Registrerad: Jan 2020

●

1. Använd adressboken
2. Kopiera halva adressen i taget så att virus inte upptäcker att det är en Bitcoin-adress

Rapportera Redigera

Citera flera Citera (1)

2023-07-13 15:36

Medlem ★

Registrerad: Dec 2003

●

Jag kollar alltid de 4 tecken/siffrorna i början och i slutet av wallet addressen efter jag copy-pastat bara för att undgå såna problem.

Hoppas inte du förlorade allt för mycket, som andra tipsat ska du hantera större volymer behöver du en dedikerad krypto dator som du endast kopplar upp när du ska broadcasta ändringar till bitcoin nätverket. Jag har endast min "hot wallet" på min windows dator, den har bara ett par tusenlappar i crypto så ingen större förlust om det skiter sig.

Rapportera Redigera

Citera flera Citera (1)