I ricercatori di sicurezza scoprono un nuovo malware clipper campagna rivolta ai madrelingua portoghesi.
Incontra CryptoClippy
Unità di Palo Alto 42 squadra di recente scoperto una campagna dannosa che prende di mira i portoghesi con un tipo di malware noto come criptovaluta clipper (malware clipper). Questo tagliacapelli, Crypto Clippy, monitora gli utenti’ appunti e sostituisce qualsiasi indirizzo di portafoglio di criptovaluta legittimo con quello dell'autore della minaccia, con il risultato che le vittime inviano inconsapevolmente la loro criptovaluta all'avversario.
Le vittime sono state identificate dalla produzione, servizi IT, e industrie immobiliari, e probabilmente includono indirizzi di portafogli personali di coloro che utilizzano le loro macchine da lavoro, il rapporto osserva. Per consegnare il malware, gli attori delle minacce hanno utilizzato Google Ads e i sistemi di distribuzione del traffico per reindirizzare gli utenti a domini dannosi che imitano l'applicazione Web WhatsApp legittima. Dopo essere stato indirizzato a questi domini, le vittime vengono indotte a scaricare file .zip o .exe dannosi che contengono il payload finale.
Come avviene un attacco CryptoClippy?
CryptoClippy si diffonde attraverso l'avvelenamento SEO, in cui una persona che cerca "WhatsApp Web" viene indirizzata a un dominio controllato da un attore della minaccia. Una volta lì, alle vittime viene chiesto di scaricare un file .zip con un file .lnk contenente script dannosi. Questi script avviano quindi una catena di eventi che installa il malware Clipper sul proprio sistema. Il malware monitora l'attività negli appunti della vittima per le transazioni Bitcoin, e se ne trova uno, sostituisce l'indirizzo del portafoglio crittografico valido con uno controllato dall'attore della minaccia.
Quali funzionalità ha CryptoClippy?
Questa variante di CryptoClippy è dotata di una gamma di funzionalità che possono aiutare l'attore malintenzionato a perseguire i propri obiettivi di furto di criptovaluta. Questi includono la configurazione di un Remote Desktop Protocol (RDP) backdoor tramite uno script PowerShell crittografato RC4 che incorpora Strumentazione gestione Windows (WMI), manipolazione del registro del servizio terminale, icacls, comandi net e cancellazione del registro. Ciò consente all'attaccante di mantenere l'accesso oltre il payload in memoria.
Inoltre, questa versione è adattata per indirizzare i portafogli Bitcoin ed Ethereum, il che non sorprende a causa della crescente popolarità delle valute digitali nei paesi dell'America Latina. Al momento del rapporto, i portafogli controllati dagli attori hanno registrato attività recenti: l'indirizzo Bitcoin ha ricevuto 0.039954 BTC (equivalente a $982.83) da quattro transazioni separate e l'indirizzo Ethereum ha ricevuto 0.110915556631181819 ETH (ca. $186.32) da tre diversi indirizzi ETH, Diceva il rapporto dell'Unità 42.
Gli aggressori hanno utilizzato un attacco in più fasi per tentare di aggirare la firma- e sistemi di sicurezza basati sull'euristica. Questo approccio includeva tecniche di offuscamento come script PowerShell offuscati e payload codificati, spiegando così il basso tasso di rilevamento di questo malware. Infatti, VirusTotal mostra solo alcuni fornitori che rilevano questo malware.
Attacchi di malware Clipper in aumento
CryptoClippy non è l'unica nuova istanza di malware clipper scoperta di recente in circolazione.
Un altro rapporto di Kaspersky Lab ha scoperto un nuovo trojan clipper di criptovaluta che era stato incorporato nei programmi di installazione trojan del browser TOR. Questo software dannoso era stato utilizzato per prendere di mira criptovalute come Bitcoin, Ethereum, Litecoin, Dogecoin, e Monero, risultando in over 15,000 attacchi attraverso 52 paesi. La Russia è stata la più colpita, a causa del blocco del Tor Browser, mentre gli Stati Uniti, Germania, Uzbekistan, Bielorussia, Porcellana, paesi Bassi, il Regno Unito, e la Francia costituiscono il restante top 10 paesi colpiti.
Si stima che gli utenti abbiano perso almeno 400.000 dollari USA a causa di questi attacchi. La cifra è probabilmente anche molto più alta a causa di attacchi non segnalati che non coinvolgono Tor Browser.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: