El nuevo malware CryptoClippy se dirige a los propietarios de criptomonedas portuguesas

Los investigadores de seguridad descubren una nueva software malicioso de las podadoras campaña dirigida a hablantes de portugués.

Conoce a CryptoClippy

Unidad de Palo Alto 42 equipo recientemente descubierto una campaña maliciosa dirigida a hablantes de portugués con un tipo de malware conocido como cortador de criptomonedas (software malicioso de las podadoras). esta cortadora, CryptoClippy, monitorea a los usuarios’ portapapeles y reemplaza cualquier dirección de billetera de criptomonedas legítima con la del actor de amenazas, lo que resulta en que las víctimas envíen involuntariamente su criptomoneda al adversario.

Se han identificado víctimas de la fabricación., servicios de TI, e industrias inmobiliarias, y probablemente incluya direcciones de billetera personal de aquellos que usan sus máquinas de trabajo, el informe señaló. Para entregar el malware, los actores de amenazas emplearon Google Ads y sistemas de distribución de tráfico para redirigir a los usuarios a dominios maliciosos que imitan la aplicación web legítima de WhatsApp. Al ser dirigido a estos dominios, se engaña a las víctimas para que descarguen archivos .zip o .exe maliciosos que contienen la carga útil final.

¿Cómo ocurre un ataque CryptoClippy??

CryptoClippy se propaga a través del envenenamiento de SEO, en el que una persona que busca "WhatsApp Web" es dirigida a un dominio controlado por un actor de amenazas. Una vez allí, se les pide a las víctimas que descarguen un archivo .zip con un archivo .lnk que contiene scripts maliciosos. Estos scripts luego inician una cadena de eventos que instala el malware clipper en su sistema.. El malware monitorea la actividad del portapapeles de la víctima para transacciones de Bitcoin, y si encuentra uno, reemplaza la dirección de billetera criptográfica válida con una controlada por el actor de amenazas.

¿Qué capacidades tiene CryptoClippy??

Esta variante de CryptoClippy está equipada con una gama de capacidades que pueden ayudar al actor malicioso a perseguir sus objetivos de robo de criptomonedas.. Estos incluyen la configuración de un protocolo de escritorio remoto (RDP) puerta trasera a través de un script de PowerShell cifrado con RC4 que incorpora Instrumental de administración de Windows (WMI), manipulación del registro del servicio de terminal, icacls, comandos de red y limpieza de registros. Esto permite que el atacante mantenga el acceso más allá de la carga útil en memoria..

Además, esta versión está diseñada para apuntar a las billeteras Bitcoin y Ethereum, lo cual no sorprende debido a la creciente popularidad de las monedas digitales en los países de América Latina. En el momento del informe, las billeteras controladas por actores han registrado actividad reciente: la dirección de Bitcoin ha recibido 0.039954 BTC (equivalente a $982.83) de cuatro transacciones separadas y la dirección de Ethereum ha recibido 0.110915556631181819 ETH (aprox.. $186.32) de tres direcciones ETH diferentes, El informe de la Unidad 42 decía.

Los atacantes emplearon un ataque de varias etapas para tratar de eludir la firma.- y sistemas de seguridad basados en heurística. Este enfoque incluía técnicas de ofuscación, como scripts de PowerShell ofuscados y cargas útiles codificadas., lo que explica la baja tasa de detección de este malware. De hecho, VirusTotal solo muestra algunos proveedores que detectan este malware.

Ataques de malware de Clipper en aumento

CryptoClippy no es la única nueva instancia de malware clipper descubierto recientemente en la naturaleza.

Otro informe de Kaspersky Lab descubrió un nuevo troyano clipper de criptomonedas que había sido incrustado en instaladores troyanos del navegador TOR. Este software malicioso se había utilizado para apuntar a criptomonedas como Bitcoin., Etereum, Litecoin, dogecoin, y Monero, resultando en más 15,000 ataques a través 52 países. Rusia ha sido la más afectada, debido al bloqueo del Navegador Tor, mientras que los Estados Unidos, Alemania, Uzbekistán, Belarús, China, los Países Bajos, el Reino Unido, y Francia conforman el top restante 10 países afectados.

Se estima que los usuarios han perdido al menos US$400.000 como resultado de estos ataques. Es probable que la cifra sea incluso mucho mayor debido a ataques no denunciados que no involucran al navegador Tor..