Un colectivo desconocido piratería está detrás de un ataque masivo de phishing que implica la creación de una página web falsa Cryptohopper. Se trata de una plataforma de negociación criptomoneda muy popular que es utilizado por miles de usuarios. Cualquier interacción con cualquiera de ellos puede conducir a infecciones de malware de varios tipos.
Falso Cryptohopper Instancia propaga malicioso para los visitantes
Una ola de phishing recientes se ha establecido en contra de los usuarios criptomoneda como una plataforma de negociación Cryptohopper falsa peligroso está siendo empujado masivamente utilizando diferentes tácticas criminales. El sitio de réplica está alojado en un sitio que se hace pasar por la dirección real y puede ser alojado en numerosas direcciones que utilizan los nombres de dominio que suena similar a la original.
Por el momento, parece que el principal objetivo del sitio es ofrecer una setup.exe carga útil de forma automática después de la visita. Este es un archivo codificado que utiliza la imagen del logo del sitio legítimo con el fin de ofrecer un malware. Por el momento no hay información disponible sobre el colectivo criminal detrás de la campaña en curso. Esto significa que el sitio de phishing se puede utilizar con eficacia para enviar diversos tipos de malware:
- El ransomware - Estos son archivos de cifrado de virus peligrosos que harán imposible el acceso a los datos clave de usuario. Por lo general, la fuerte cifrado se aplica a ciertas extensiones de archivos, archivos populares incluyen los siguientes: imágenes, música, vídeos, bases de datos, software ,archivos y etc.. Los archivos de las víctimas serán renombrados con una cierta extensión y una nota de rescate serán producidos que chantajear a las víctimas que pagar una cuota de descifrado a ellos.
- Los mineros criptomoneda - Estos son secuencias de comandos peligrosas que descargará una serie de tareas matemáticas complejas que colocar una pesada carga sobre el rendimiento de las máquinas incluyendo la CPU, memoria, espacio en disco duro y etc.. Cada vez que uno de ellos se indica como completado los operadores recibirán un pequeño ingreso directamente en sus billeteras digitales.
- Troyanos - Estos son virus peligrosos que tendrá el control de las máquinas mediante el mantenimiento de una conexión persistente a un servidor que permite a los operadores a tomar el control de la máquina.
- Los secuestradores de navegador - Son los plugins peligrosos realizados por los navegadores web más populares y van a secuestrar los datos del usuario y manipularlos en Siempre abrir ciertos sitios de hackers controlado.
En el momento de la campaña de ataque en curso se establece en la distribución de la Vidar Troya.
Su configuración se descarga otros dos amenazas de malware en las máquinas infectadas y sus bibliotecas asociadas. Lo sabemos por el informe de seguridad es que van a actuar como de dos motores independientes. La primera de ellas se centra en la descarga y ejecución de una código minero criptomoneda. El segundo uno actuará como una secuestrador del portapapeles que se centrará su atención en la entrada del usuario y adquirir cualquier información sensible que se introduce. Otras acciones de malware que pueden ser tomadas por el malware que se distribuye por las instancias Cryptohopper falsos incluyen lo siguiente:
- Instalación persistente - El amlware principal que se entrega, en este caso el Vidar Troya, Se pueden añadir a las opciones de arranque como una entrada. Esto significa que la amenaza se pondrá en marcha tan pronto como el ordenador está encendido.
- La recolección de datos - Adquisición de información sensible se puede hacer mediante la búsqueda de cadenas que pueden revelar una gran cantidad de datos sobre las víctimas o de sus máquinas. Las siguientes cadenas pueden ser secuestrados: datos del navegador Web, credenciales de la cuenta almacenados, carteras criptomoneda, documentos, archivos de texto, los datos del formulario y capturas de pantalla generadas automáticamente.
El secuestrador portapapeles, que es el segundo módulo, que se activa en este comunicado de campaña también se verá fuera de cualquier dirección de carteras criptomoneda que interactuaron con las sesiones web. Cada vez que se detecta un tipo de operaciones el motor reemplazará automáticamente las direcciones con los hackers-ideado. Las muestras adquiridas actuarán contra las siguientes monedas:
Etereum, Bitcoin,Bitcoin efectivo, DUX, Guión, Litecoin, Zkash, Bitcoin oro, QTUM y Ripple
Todas las víctimas que sospechan que podría ser víctima de este tipo de infecciones o encontrarse con sitios falsos Cryptohopper deben tomar las precauciones necesarias y proteger sus sistemas de infecciones de malware.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: