Nieuws

Omnistealer maakt gebruik van de blockchain om alles te stelen wat hij maar kan

door Pieter Arntz | 14 april 2026
alles stelen

Een nieuwe infostealer met de naam Omnistealer verandert de blockchain in een permanent platform voor het hosten van malware, wat slecht nieuws is voor zowel bedrijven als gewone gebruikers.

Het komt vrij vaak voor dat malware zijn schadelijke code opslaat op een openbaar platform, bij voorkeur een platform dat de downloadlocatie een zekere mate van betrouwbaarheid verleent, zoals Google Docs, OneDrive, GitHub, npm, PyPI, enzovoort.

Het probleem voor verspreiders van malware is dat deze kunnen worden verwijderd. Dat kost soms wat tijd en moeite, maar het is mogelijk. Omnistealer omzeilt dit door zijn staging-code op te slaan in transacties op openbare blockchains zoals TRON, Aptos en Binance Smart Chain.

Bij sommige blockchaintransacties is het mogelijk om kleine stukjes willekeurige gegevens toe te voegen (notities, metadata, invoer voor slimme contracten), en in plaats van iets onschadelijks voegen aanvallers het volgende in:

  • Versleutelde tekst
  • Gecodeerde opdrachten
  • Fragmenten van malwarecode

En omdat blockchains alleen kunnen worden aangevuld, zijn die kwaadaardige fragmenten in feite onuitwisbaar zodra ze in een blok zijn gemined. Je kunt domeinen intrekken en GitHub-repositories verwijderen, maar je kunt TRON of BSC niet terugdraaien alleen maar om een paar honderd bytes aan malware-stagingcode te verwijderen.

Daardoor worden openbare grootboeken een veerkrachtige, censuurbestendige infrastructuur voor aansturing en controle die verdedigers niet zomaar kunnen uitschakelen.

Ondanks het duidelijke verband met cryptovaluta is Omnistealer niet alleen gericht op het beroven van crypto-investeerders. Zodra Omnistealer een systeem is binnengedrongen, richt het zich op:

  • Meer dan 10 wachtwoordbeheerders, waaronder voor consumenten bestemde tools die via de cloud worden gesynchroniseerd, zoals LastPass.
  • Grote browsers zoals Chrome Firefox, die opgeslagen inloggegevens en sessiegegevens verzamelen.
  • Cloudopslagaccounts, waaronder inloggegevens voor Google Drive.
  • Meer dan 60 browsergebaseerde crypto-wallets, waaronder populaire extensies zoals MetaMask en Coinbase Wallet.

 Het is ontworpen als een allesomvattende gegevenszuiger die volgens onderzoekers „letterlijk alles zal stelen“.

De aanval begint meestal met een ‘eenvoudige’ programmeeropdracht: een freelancer krijgt een aanbod LinkedIn Upwork, haalt een GitHub-repository op en voert code uit die eruitziet als gewone projectcode. Achter de schermen maakt die code verbinding met de blockchain, leest transactiegegevens en gebruikt deze als aanwijzing om de uiteindelijke payload op te halen en te ontsleutelen.

Onderzoekers schatten dat er al zo’n 300.000 inloggegevens zijn gestolen, variërend van platforms in de porno-industrie en maaltijdbezorgdiensten tot bedrijven die zich bezighouden met financiële compliance, leveranciers in de defensiesector en Amerikaanse overheidsinstanties. 

Wat je kunt doen 

Je kunt malware niet uit de blockchain verwijderen, maar je kunt het wel veel moeilijker maken voor dit soort campagnes om je te treffen. Zorg er allereerst voor dat er minder te stelen valt. Bescherm vervolgens je gegevens beter.

  • Beschouw ‘droombanen’ en ongevraagde contractvoorstellen standaard als verdacht, vooral als ze snel overschakelen naar chats buiten het platform (Telegram, Discord) of je vragen om code uit een privé-repository uit te voeren.
  • Beveilig je wachtwoorden met een betrouwbare wachtwoordbeheerder en schakel tweefactorauthenticatie in (bij voorkeur via een app of sleutel in plaats van via sms) voor alle belangrijke of gevoelige accounts.
  • Gebruik een up-to-date, realtime anti-malwareprogramma om bedreigingen zoals Omnistealer te blokkeren, op te sporen en te verwijderen.
  • Gebruik je dagelijkse gebruikersprofiel of je belangrijkste werkstation niet als testomgeving voor willekeurige GitHub-projecten of nevenprojecten. Gebruik in plaats daarvan een virtuele machine of een apart systeem.
  • Houd uw crypto- en bankrekeningen in de gaten op onverklaarbare inlogpogingen of opnames, en zet geld over naar nieuwe wallets als u vermoedt dat uw account is gehackt.

Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.

Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal. 

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
JDownloader-logo

Aanvallers hebben de downloads van het installatieprogramma van JDownloader vervangen door malware

Mei 15, 2026

De website van JDownloader is gehackt en via de downloadlinks voor het installatieprogramma is er enkele dagen lang malware verspreid.

AI
Instagram tussen WhatsApp en Instagram

Meta’s verwarrende nieuwe aanpak van chatprivacy

Mei 15, 2026

WhatsApp biedt nu verdwijnende AI-chats aan waarvan Meta zegt dat het ze niet kan lezen. Terwijl Instagram de functie heeft verwijderd die ervoor zorgde dat Meta je berichten niet kon lezen.

Privacy
Yahoo Mail-logo

Waarom Malwarebytes bepaalde omleidingen van Yahoo Mail Malwarebytes

Mei 14, 2026

Sommige gebruikers van Yahoo Mail krijgen mogelijk herhaaldelijk Malwarebytes te zien als gevolg van verbindingen op de achtergrond met verdachte domeinen van derden. Dit is de reden daarvoor.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting