Neue CryptoClippy-Malware zielt auf portugiesische Kryptowährungsbesitzer ab

Sicherheitsforscher decken ein neues auf Clipper-Malware Kampagne für portugiesischsprachige Personen.

Lernen Sie CryptoClippy kennen

Palo Altos Einheit 42 Mannschaft vor kurzem unbedeckt eine böswillige Kampagne, die auf portugiesischsprachige Personen mit einer Art von Malware abzielt, die als Kryptowährungs-Clipper bekannt ist (Clipper-Malware). Diese Schere, CryptoClippy, überwacht Benutzer’ Zwischenablagen und ersetzt jede legitime Kryptowährungs-Wallet-Adresse durch die des Bedrohungsakteurs, was dazu führt, dass Opfer ihre Kryptowährung unwissentlich an den Gegner senden.

Opfer wurden aus der Herstellung identifiziert, IT-Service, und Immobilienwirtschaft, und wahrscheinlich persönliche Brieftaschenadressen derjenigen enthalten, die ihre Arbeitsmaschinen verwenden, Der Bericht stellte fest. Um die Malware auszuliefern, Bedrohungsakteure setzten Google Ads und Verkehrsverteilungssysteme ein, um Benutzer auf bösartige Domains umzuleiten, die die legitime WhatsApp-Webanwendung imitieren. Bei Weiterleitung an diese Domains, Opfer werden dazu verleitet, bösartige .zip- oder .exe-Dateien herunterzuladen, die die endgültige Nutzlast enthalten.

Wie läuft ein CryptoClippy-Angriff ab??

CryptoClippy wird durch SEO-Vergiftung verbreitet, in dem eine Person, die nach „WhatsApp Web“ sucht, zu einer von Angreifern kontrollierten Domäne weitergeleitet wird. Einmal gibt, Opfer werden aufgefordert, eine .zip-Datei mit einer .lnk-Datei herunterzuladen, die schädliche Skripte enthält. Diese Skripte initiieren dann eine Ereigniskette, die die Clipper-Malware auf ihrem System installiert. Die Malware überwacht die Aktivitäten der Zwischenablage des Opfers auf Bitcoin-Transaktionen, und wenn es einen findet, Es ersetzt die gültige Krypto-Wallet-Adresse durch eine, die vom Bedrohungsakteur kontrolliert wird.

Welche Fähigkeiten hat CryptoClippy??

Diese Variante von CryptoClippy ist mit einer Reihe von Funktionen ausgestattet, die dem böswilligen Akteur helfen können, seine Ziele beim Diebstahl von Kryptowährung zu verfolgen. Dazu gehört die Einrichtung eines Remotedesktopprotokolls (RDP) Hintertür über ein RC4-verschlüsseltes PowerShell-Skript, das Windows Management Instrumentation enthält (WMI), Manipulation der Terminaldienstregistrierung, icacls, net-Befehle und Protokolllöschung. Dadurch kann der Angreifer den Zugriff über die In-Memory-Payload hinaus aufrechterhalten.

Weiter, Diese Version ist auf Bitcoin- und Ethereum-Wallets zugeschnitten, was aufgrund der steigenden Popularität digitaler Währungen in lateinamerikanischen Ländern nicht überraschend ist. Zum Zeitpunkt des Berichts, Die von Akteuren kontrollierten Brieftaschen haben kürzlich Aktivitäten registriert: die Bitcoin-Adresse erhalten hat 0.039954 BTC (gleichwertig $982.83) aus vier separaten Transaktionen und die Ethereum-Adresse erhalten hat 0.110915556631181819 ETH (ca. $186.32) von drei verschiedenen ETH-Adressen, Laut dem Bericht von Einheit 42.

Die Angreifer setzten einen mehrstufigen Angriff ein, um zu versuchen, die Signatur zu umgehen- und heuristikbasierte Sicherheitssysteme. Dieser Ansatz umfasste Verschleierungstechniken wie verschleierte PowerShell-Skripts und verschlüsselte Nutzlasten, was die niedrige Erkennungsrate dieser Malware erklärt. Tatsächlich, VirusTotal zeigt nur wenige Anbieter, die diese Malware erkennen.

Clipper-Malware-Angriffe auf dem Vormarsch

CryptoClippy ist nicht die einzige neue Instanz von Clipper-Malware, die kürzlich in freier Wildbahn entdeckt wurde.

Ein weiterer Bericht von Kaspersky Lab deckte einen neuen Kryptowährungs-Clipper-Trojaner auf, der gewesen war eingebettet in trojanisierte Installationsprogramme des TOR-Browsers. Diese bösartige Software wurde verwendet, um auf Kryptowährungen wie Bitcoin abzuzielen, Astraleum, Litecoin, Dogecoin, und Monero, was zu über 15,000 Angriffe hinüber 52 Ländern. Am stärksten betroffen ist Russland, aufgrund der Sperrung des Tor-Browsers, während die Vereinigten Staaten, Deutschland, Usbekistan, Weißrussland, China, die Niederlande, Großbritannien, und Frankreich bilden die verbleibende Spitze 10 Länder betroffen.

Es wird geschätzt, dass Benutzer durch diese Angriffe mindestens 400.000 US-Dollar verloren haben. Die Zahl ist wahrscheinlich sogar noch viel höher aufgrund von nicht gemeldeten Angriffen, die nicht den Tor-Browser betreffen.