Des chercheurs en sécurité découvrent une nouvelle logiciel malveillant de clipper campagne ciblant les lusophones.
Rencontrez CryptoClippy
Unité de Palo Alto 42 équipe récemment découvert une campagne malveillante ciblant les lusophones avec un type de malware connu sous le nom de clipper de crypto-monnaie (logiciel malveillant de clipper). Cette tondeuse, CryptoClippy, surveille les utilisateurs’ presse-papiers et remplace toute adresse de portefeuille de crypto-monnaie légitime par celle de l'acteur de la menace, ce qui fait que les victimes envoient involontairement leur crypto-monnaie à l'adversaire.
Des victimes ont été identifiées dès la fabrication, services informatiques, et les secteurs de l'immobilier, et incluent probablement les adresses de portefeuille personnelles de ceux qui utilisent leurs machines de travail, le rapport note. Pour livrer le malware, les acteurs de la menace ont utilisé Google Ads et des systèmes de distribution de trafic pour rediriger les utilisateurs vers des domaines malveillants qui imitent l'application Web WhatsApp légitime. Après avoir été dirigé vers ces domaines, les victimes sont amenées à télécharger des fichiers .zip ou .exe malveillants contenant la charge utile finale.
Comment se passe une attaque CryptoClippy?
CryptoClippy se propage par empoisonnement SEO, dans lequel une personne recherchant "WhatsApp Web" est dirigée vers un domaine contrôlé par un acteur menaçant. Une fois là, les victimes sont invitées à télécharger un fichier .zip avec un fichier .lnk contenant des scripts malveillants. Ces scripts lancent ensuite une chaîne d'événements qui installe le logiciel malveillant Clipper sur leur système.. Le logiciel malveillant surveille l'activité du presse-papiers de la victime pour les transactions Bitcoin, et s'il en trouve un, il remplace l'adresse de portefeuille cryptographique valide par une adresse contrôlée par l'auteur de la menace.
Quelles sont les capacités de CryptoClippy?
Cette variante de CryptoClippy est équipée d'une gamme de fonctionnalités qui peuvent aider l'acteur malveillant à poursuivre ses objectifs de vol de crypto-monnaie. Ceux-ci incluent la configuration d'un protocole de bureau à distance (RDP) porte dérobée via un script PowerShell crypté RC4 qui intègre Windows Management Instrumentation (WMI), manipulation du registre du service terminal, icacls, commandes net et effacement du journal. Cela permet à l'attaquant de maintenir l'accès au-delà de la charge utile en mémoire.
En outre, cette version est conçue pour cibler les portefeuilles Bitcoin et Ethereum, ce qui n'est pas surprenant en raison de la popularité croissante des monnaies numériques dans les pays d'Amérique latine. Au moment du rapport, les portefeuilles contrôlés par les acteurs ont enregistré une activité récente: l'adresse Bitcoin a reçu 0.039954 BTC (équivalent à $982.83) de quatre transactions distinctes et l'adresse Ethereum a reçu 0.110915556631181819 ETH (environ. $186.32) de trois adresses ETH différentes, Le rapport de l'unité 42 dit.
Les attaquants ont utilisé une attaque en plusieurs étapes pour tenter de contourner la signature- et des systèmes de sécurité heuristiques. Cette approche comprenait des techniques d'obscurcissement telles que des scripts PowerShell obscurcis et des charges utiles codées, expliquant ainsi le faible taux de détection de ce malware. En fait, VirusTotal ne montre que quelques fournisseurs détectant ce malware.
Les attaques de logiciels malveillants Clipper se multiplient
CryptoClippy n'est pas la seule nouvelle instance de malware clipper découverte récemment dans la nature.
Un autre rapport de Kaspersky Lab a découvert un nouveau cheval de Troie clipper de crypto-monnaie qui avait été intégré dans les installateurs trojanisés du navigateur TOR. Ce logiciel malveillant avait été utilisé pour cibler des crypto-monnaies telles que Bitcoin, Ethereum, Litecoin, Dogecoin, et Monero, résultant en plus 15,000 attaques à travers 52 pays. La Russie a été la plus touchée, en raison du blocage du navigateur Tor, tandis que les États-Unis, Allemagne, Ouzbékistan, Belarus, Chine, les Pays-Bas, le Royaume-Uni, et la France composent le top restant 10 pays touchés.
On estime que les utilisateurs ont perdu au moins 400 000 USD à la suite de ces attaques.. Le chiffre est probablement encore beaucoup plus élevé en raison d'attaques non signalées qui n'impliquent pas le navigateur Tor.