Cryptohopper is een website waarop gebruiker zogenaamde trading bots kunnen installeren. Dit zijn automatische programma’s die in crypto kunnen handelen. Nadat een gebruiker de website bezoekt worden de trojans automatisch geïnstalleerd. In het installatiescherm wordt bovendien het logo van Cryptohopper nogmaals getoond, waardoor het lijkt alsof het om software van het bedrijf gaat.
De drie trojans die worden geïnstalleerd hebben elk een eigen taak. Vidar is een van de trojans die persoonlijke gegevens steelt en doorstuurt naar de hacker via een externe server. De trojan steelt onder andere cookies, browsergeschiedenis, opgeslagen betalingsinsformatie en informatie omtrent cryptocurrency-wallets.
Daarnaast wordt ook Qulab geïnstalleerd. Dit is een trojan die het klembord van het slachtoffer afspeurt, op zoek naar gekopieerde wallet-adressen. Als het slachtoffer een wallet-adres kopieert vervangt de trojan dit adres automatisch met het wallet-adres van de hacker. Qulab kan onder andere ethereum (ETH) adressen vervangen met het ethereum (ETH) adres van de hacker.
Qulab doet echter meer dan alleen “cryptjacking”. De trojan gebruikt de computer van het slachtoffer namelijk ook om cryptocurrencies te minen. Dit gebeurt uiteraard zonder dat het slachtoffer het doorheeft.
Een van de wallets van de hacker zou al 33 bitcoins, ongeveer $260.000, bezitten. Het blijft echter onduidelijk of deze bitcoins afkomstig zijn van slachtoffers van de malware afkomstig van de neppe Cryptohopper website.
