Según un nuevo informe de Kaspersky, Los actores de amenazas han estado utilizando instaladores troyanos del navegador de anonimato TOR para apuntar a usuarios en Rusia y Europa del Este con malware clipper desde septiembre del año pasado.. Este malware está diseñado específicamente para desviar criptomonedas, y tiene la capacidad de permanecer sin ser detectado durante años. El ataque en cuestión es un secuestro del portapapeles., y este tipo de malware suele llamarse “software malicioso de las podadoras“.
Programa malicioso Clipper, también conocido como inyector de portapapeles, ha sido una amenaza durante varios años. Este software malicioso es capaz de corromper los datos almacenados en el portapapeles, permitiendo que sea alterado o incluso enviado al servidor operado por el atacante. El ataque Kaspersky reportado se basa en el malware que reemplaza parte del contenido del portapapeles una vez que detecta una dirección de billetera en él.
Ataques de malware de Clipper en aumento
Recientemente, Kaspersky Technologies ha identificado un desarrollo de malware relacionado con Tor Browser, una herramienta que se usa a menudo para navegar en la web profunda, ser descargado de una fuente de terceros en forma de un archivo RAR protegido por contraseña. Es probable que la contraseña esté destinada a evitar que las soluciones de seguridad detecten el archivo., y una vez que se coloca en el sistema del usuario, se registra en el inicio automático y se enmascara con un ícono de una aplicación popular como uTorrent.
Este malware se ha utilizado para apuntar a criptomonedas como Bitcoin, Etereum, Litecoin, dogecoin, y Monero, resultando en más de 15,000 ataques a través de al menos 52 países. Rusia ha sido la más afectada debido al bloqueo del navegador Tor en el país, mientras que los Estados Unidos, Alemania, Uzbekistán, Belarús, China, los Países Bajos, el Reino Unido, y Francia conforman la parte superior 10 países afectados. Las estimaciones actuales sitúan la pérdida total de usuarios en al menos US $ 400,000, aunque es probable que sea mucho más alto debido a los ataques que no involucran al Navegador Tor y que no se tienen en cuenta..
Más información sobre el malware Clipper detectado recientemente
Este instalador contiene un pasivo, Malware de inyector de portapapeles sin comunicación que está protegido con Enigma Packer v4.0. Es posible que los autores de este malware hayan utilizado una versión descifrada del empaquetador., ya que carece de cualquier información de licencia.
La carga útil de este malware es bastante sencilla.: se integra en el visor del portapapeles de Windows y recibe notificaciones cuando se modifican los datos del portapapeles. Si el portapapeles tiene algún texto, escanea los contenidos usando un conjunto de expresiones regulares incrustadas. Si se encuentra una coincidencia, se reemplaza con una dirección elegida al azar de una lista codificada.
“Entre los aproximadamente 16,000 detecciones, la mayoría estaban registrados en Rusia y Europa del Este. Sin embargo, la amenaza se extendió a por lo menos 52 países del mundo,” Los investigadores de Kaspersky dijeron.