Sikkerhedsforskere afslører en ny clipper malware kampagne målrettet portugisisktalende.
Mød CryptoClippy
Palo Altos enhed 42 hold for nylig afdækket en ondsindet kampagne, der er rettet mod portugisisktalende med en type malware kendt som en cryptocurrency clipper (clipper malware). Denne klipper, CryptoClippy, overvåger brugere’ udklipsholdere og erstatter enhver legitim cryptocurrency wallet-adresse med trusselsaktørens, hvilket resulterer i, at ofre ubevidst sender deres kryptovaluta til modstanderen.
Ofrene er blevet identificeret fra fremstillingen, IT-tjenester, og ejendomsbranchen, og sandsynligvis inkludere personlige tegnebogsadresser på dem, der bruger deres arbejdsmaskiner, rapporten bemærkede. For at levere malware, trusselsaktører brugte Google Ads og trafikdistributionssystemer til at omdirigere brugere til ondsindede domæner, der efterligner den legitime WhatsApp-webapplikation. Ved at blive dirigeret til disse domæner, ofre bliver narret til at downloade ondsindede .zip- eller .exe-filer, der indeholder den endelige nyttelast.
Hvordan sker et CryptoClippy-angreb?
CryptoClippy spredes gennem SEO-forgiftning, hvor en person, der søger efter "WhatsApp Web", dirigeres til et trusselsaktør-kontrolleret domæne. Når der, ofre bliver bedt om at downloade en .zip-fil med en .lnk-fil, der indeholder ondsindede scripts. Disse scripts starter derefter en kæde af begivenheder, der installerer clipper-malwaren på deres system. Malwaren overvåger ofrets udklipsholderaktivitet for Bitcoin-transaktioner, og hvis den finder en, den erstatter den gyldige crypto wallet-adresse med en, der kontrolleres af trusselsaktøren.
Hvilke muligheder har CryptoClippy?
Denne variant af CryptoClippy er udstyret med en række funktioner, der kan hjælpe den ondsindede aktør med at forfølge deres mål for at stjæle kryptovaluta. Disse omfatter opsætning af en Remote Desktop Protocol (RDP) bagdør via et RC4-krypteret PowerShell-script, der inkorporerer Windows Management Instrumentation (WMI), manipulation af terminaltjenesteregistret, icacls, net-kommandoer og log-rydning. Dette gør det muligt for hackeren at opretholde adgang ud over nyttelasten i hukommelsen.
Endvidere, denne version er skræddersyet til at målrette Bitcoin og Ethereum tegnebøger, hvilket er ikke overraskende på grund af den stigende popularitet af digitale valutaer i latinamerikanske lande. På tidspunktet for rapporten, de skuespillerkontrollerede tegnebøger har registreret nylig aktivitet: Bitcoin-adressen har modtaget 0.039954 BTC (svarende til $982.83) fra fire separate transaktioner og Ethereum-adressen har modtaget 0.110915556631181819 ETH (ca. $186.32) fra tre forskellige ETH-adresser, Enhed 42's rapport sagde.
Angriberne brugte et flertrinsangreb for at forsøge at omgå signaturen- og heuristisk-baserede sikkerhedssystemer. Denne tilgang inkluderede sløringsteknikker såsom slørede PowerShell-scripts og kodede nyttelaster, derved forklare den lave detektionsrate af denne malware. Faktisk, VirusTotal viser kun nogle få leverandører, der opdager denne malware.
Clipper Malware-angreb på vej
CryptoClippy er ikke den eneste nye forekomst af clipper-malware, der for nylig er opdaget i naturen.
En anden rapport fra Kaspersky Lab afslørede en ny cryptocurrency clipper trojan, som havde været indlejret i trojaniserede installationsprogrammer af TOR-browseren. Denne ondsindede software var blevet brugt til at målrette mod kryptovalutaer såsom Bitcoin, Ethereum, Litecoin, dogecoin, og Monero, resulterer i over 15,000 angreb på tværs 52 lande. Rusland har været hårdest ramt, på grund af blokeringen af Tor-browseren, mens USA, Tyskland, Usbekistan, Hviderusland, Porcelæn, Holland, Det Forenede Kongerige, og Frankrig udgør den resterende top 10 berørte lande.
Det anslås, at brugerne har mistet mindst 400.000 USD som følge af disse angreb. Tallet er sandsynligvis endnu meget højere på grund af urapporterede angreb, der ikke involverer Tor-browseren.