Opgelet: met malware bezaaide OpenClaw-tool duikt op in zoekmachines
AI-overzichten in zoekmachines kunnen je veel tijd schelen, zeker bij eenvoudige zoekopdrachten. Dat is niet anders wanneer je het installatiebestand van OpenClaw zoekt. Bing wist daar ook wel raad mee, maar linkte daarbij per ongeluk naar een malafide OpenClaw-installer. Gebruikers kregen die te zien wanneer ze in Bing zochten naar “OpenClaw Windows”.
Wie de malafide OpenClaw-tool op zijn Windows- of macOS-systeem installeerde, kreeg er meteen ook infostealers bij. Volgens beveiligingsonderzoekers van Huntress, die de malafide versie op het spoor kwamen, gaat het in eerste instantie om Rust-gebaseerde ‘malwareloaders’. Dat zijn programma’s die andere malware op je pc kunnen uitvoeren.
Infostealers en proxymalware
Een van de infostealers die de criminelen gebruiken heet Vidar. Die infostealer maakt gebruik van socialemedianetwerken als Telegram en Steam om een command-and-controlnetwerk (C2) op te zetten. Dat kan vervolgens worden ingezet om nieuwe payloads op je pc te installeren. De logische volgende stap is echter dat hackers je pc afspeuren naar logingegevens en cryptowallets.
Die kunnen ze vervolgens meteen misbruiken. De malafide OpenClaw-tool installeert namelijk ook de proxymalware GhostSocks op je pc. Daarmee wordt je computer onderdeel van hun proxynetwerk en kunnen ze hun verkeer via jouw IP-adres routeren, als een soort VPN.
Zo kunnen ze ongezien hun criminele activiteiten uitvoeren. Zo’n proxy kan echter ook worden ingezet om je wachtwoorden ongemerkt te misbruiken. Voor apps en diensten waarbij wordt ingelogd, lijkt het dan alsof de login vanaf je eigen thuisnetwerk komt, waardoor extra beveiligingscontroles vaak uitblijven.
GitHub-repo aanmaken was voldoende
De aanval benadrukt hoe belangrijk het is om nooit zomaar een programma van het internet te downloaden. Ook niet wanneer Bing of Google de download als het ware aanbevelen in hun AI-overzichten. Zulke AI kan namelijk niet goed beoordelen of een programma veilig is. Bovendien worden downloadlinks niet gecontroleerd.
Dit geval laat bovendien zien dat Microsoft Bing erg snel vertrouwt op informatie die op GitHub staat. In plaats van de officiële downloadpagina te tonen, koos het AI-overzicht voor een malafide GitHub-repository.
Volgens Huntress zijn er inmiddels meerdere van zulke repositories opgedoken. Het lijkt aannemelijk dat er de komende tijd alleen maar meer zullen verschijnen. Dankzij de diepgaande toegang die OpenClaw vereist, is de software namelijk een ideale kandidaat voor dit soort aanvallen.
