Ifølge en ny Kaspersky-rapport, trusselsaktører har brugt trojaniserede installatører af TOR anonymitetsbrowseren til at målrette mod brugere i Rusland og Østeuropa med clipper-malware siden september sidste år. Denne malware er designet specifikt til at hæve kryptovalutaer, og har evnen til at forblive uopdaget i årevis. Det pågældende angreb er en clipboard-kapring, og denne type malware kaldes normalt “clipper malware“.
Clipper malware, også kendt som en clipboard-injektor, har været en trussel i flere år. Denne ondsindede software er i stand til at ødelægge de data, der er gemt i udklipsholderen, tillader det at blive ændret eller endda sendt til serveren, der drives af angriberen. Kaspersky angreb rapporteret er afhængig af, at malware erstatter en del af udklipsholderens indhold, når den registrerer en tegnebogsadresse i den.
Clipper Malware-angreb på vej
For nylig, Kaspersky-teknologier har identificeret en malware-udvikling, der involverer Tor Browser, et værktøj, der ofte bruges til at surfe på det dybe web, bliver downloadet fra en tredjepartskilde i form af et password-beskyttet RAR-arkiv. Adgangskoden er sandsynligvis beregnet til at forhindre sikkerhedsløsninger i at opdage filen, og når det er faldet ind i brugerens system, den registrerer sig selv i autostarten og maskerer sig selv med et ikon for en populær applikation såsom uTorrent.
Denne malware er blevet brugt til at målrette mod kryptovalutaer som Bitcoin, Ethereum, Litecoin, dogecoin, og Monero, resulterer i mere end 15,000 angreb på tværs i hvert fald 52 lande. Rusland er blevet hårdest ramt på grund af, at Tor Browser er blevet blokeret i landet, mens USA, Tyskland, Usbekistan, Hviderusland, Porcelæn, Holland, Det Forenede Kongerige, og Frankrig udgør toppen 10 berørte lande. Aktuelle estimater anslår det samlede tab af brugere på mindst 400.000 USD, selvom det sandsynligvis er meget højere på grund af angreb, der ikke involverer Tor Browser, der ikke er blevet redegjort for.
Mere om den nyligt opdagede Clipper-malware
Dette installationsprogram indeholder en passiv, kommunikationsløs clipboard-injector malware, der er beskyttet ved hjælp af Enigma Packer v4.0. Forfatterne af denne malware kan have brugt en cracket version af pakkeren, da den mangler nogen licensoplysninger.
Nyttelasten af denne malware er ret ligetil: det integreres i Windows udklipsholderfremviser og modtager meddelelser, når udklipsholderdataene ændres. Hvis udklipsholderen har nogen tekst, den scanner indholdet ved hjælp af et sæt indlejrede regulære udtryk. Skal der findes et match, den erstattes med en tilfældigt valgt adresse fra en hårdkodet liste.
“Blandt de ca 16,000 opdagelser, størstedelen var registreret i Rusland og Østeuropa. Men, truslen spredte sig til mindst 52 lande verden over,” Kaspersky-forskere sagde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: