I ricercatori di sicurezza hanno scoperto un'operazione dannosa che ha fatto almeno $1.7 milioni da criptovaluta mineraria e il dirottamento degli appunti. Scoperto dal team di cacciatori di minacce di Symantec, il malware nell'operazione, ClipMiner, condivide molte somiglianze con il Trojan KryptoCibule, e potrebbe essere un imitatore.
ClipMiner in dettaglio
Distribuzione
Come la maggior parte dei trojan, ClipMiner è diffuso anche tramite download trojanizzati di software piratato o crackato. Il miner si presenta sotto forma di un archivio WinRAR autoestraente, rilasciare ed eseguire un downloader. Quest'ultimo arriva come una DLL eseguibile portatile imballata con l'estensione del file CPL, anche se non segue il formato CPL. Il file si collega alla rete Tor e scarica i componenti del minatore.
funzionalità
Le capacità del minatore si concentrano sull'estrazione di criptovaluta, e modificare il contenuto degli appunti nel tentativo di reindirizzare le transazioni crittografiche degli utenti. “Su ogni aggiornamento degli appunti, esegue la scansione del contenuto degli appunti per gli indirizzi del portafoglio, riconoscere i formati degli indirizzi utilizzati da almeno una dozzina di criptovalute diverse,”Dice il rapporto. Questi indirizzi vengono quindi sostituiti con quelli degli operatori delle minacce, e per la maggior parte ci sono più sostituzioni tra cui scegliere.
ClipMiner sceglie quindi l'indirizzo che corrisponde al prefisso dell'indirizzo da sostituire, e in questo modo è altamente improbabile che la vittima si accorga della manipolazione. Secondo i risultati, il malware utilizza 4,375 indirizzi di portafoglio univoci, di cui 3,677 vengono utilizzati solo per tre diversi formati di indirizzi Bitcoin.
Analizzando solo gli indirizzi dei wallet di Bitcoin ed Ethereum, i ricercatori hanno scoperto che contenevano approssimativamente 34.3 Bitcoin e 129.9 Ethereum al momento della scrittura. Alcuni fondi sono stati trasferiti a tumbler di criptovaluta (servizi di miscelazione), che mescolano fondi potenzialmente identificabili con altri con l'idea di oscurare il percorso verso la fonte originale del fondo. “Se includiamo i fondi trasferiti a questi servizi, gli operatori di malware hanno potenzialmente realizzato almeno $1.7 milioni dal solo dirottamento degli appunti," il rapporto noto.
L'evoluzione del furto di criptovalute
In una nota diversa, è curioso ricordare che lo sono stati i criminali informatici adottando alcune nuove tecniche nelle loro operazioni di cryptomining. Lavare il commercio, per esempio, è una pratica che coinvolge criminali che eseguono una transazione in cui il venditore è su entrambi i lati del commercio, creando un quadro fuorviante del valore e della liquidità di un asset.
Altri trucchi includono quanto segue:
- Attacchi di prestito flash: i membri dello scambio possono prendere in prestito e quindi rimborsare rapidamente i fondi senza alcuna garanzia abusando delle funzionalità degli smart contract per aumentare i tassi di cambio.
- Rug pulls: gli sviluppatori di un nuovo token abbandonano rapidamente il loro progetto e scompaiono con i fondi investiti.
- Chain hopping: spostamento di fondi da un tipo di criptovaluta a una serie di altri nel tentativo di offuscare le loro transazioni.