セキュリティ研究者が新たな問題を発見 クリッパー マルウェア ポルトガル語話者をターゲットにしたキャンペーン.
CryptoClippy に会う
パロアルトのユニット 42 最近のチーム 覆われていない 暗号通貨クリッパーと呼ばれる一種のマルウェアを使用して、ポルトガル語話者を標的とする悪意のあるキャンペーン (クリッパー マルウェア). このバリカン, 暗号クリッピー, ユーザーを監視する’ クリップボードに保存し、正当な暗号通貨ウォレット アドレスを攻撃者のアドレスに置き換えます。, その結果、被害者は無意識のうちに暗号通貨を敵に送信します.
被害者は製造から特定されています, ITサービス, および不動産業界, 仕事用のマシンを使用している個人のウォレット アドレスが含まれている可能性があります。, 報告書は指摘しました. マルウェアを配信するには, 攻撃者は、Google 広告とトラフィック分散システムを利用して、正規の WhatsApp Web アプリケーションを模倣した悪意のあるドメインにユーザーをリダイレクトしました. これらのドメインに誘導されると、, 被害者はだまされて、最終的なペイロードを含む悪意のある .zip または .exe ファイルをダウンロードします.
CryptoClippy 攻撃はどのように発生しますか?
CryptoClippy は SEO ポイズニングによって拡散されます, 「WhatsApp Web」を検索している人が、脅威アクターが制御するドメインに誘導される. そこに一度, 被害者は、悪意のあるスクリプトを含む .lnk ファイルを含む .zip ファイルをダウンロードするよう求められます. 次に、これらのスクリプトは、システムにクリッパー マルウェアをインストールする一連のイベントを開始します。. マルウェアは、Bitcoin トランザクションの被害者のクリップボード アクティビティを監視します。, そして、それが見つかった場合, 有効な暗号ウォレット アドレスを攻撃者が制御するものに置き換えます。.
CryptoClippy にはどのような機能がありますか?
この CryptoClippy の亜種には、悪意のある攻撃者が暗号通貨を盗む目的を追求するのに役立つさまざまな機能が備わっています。. これらには、リモート デスクトップ プロトコルの設定が含まれます。 (RDP) Windows Management Instrumentation を組み込んだ RC4 で暗号化された PowerShell スクリプトを介したバックドア (WMI), ターミナル サービス レジストリの操作, icacls, net コマンドとログのクリア. これにより、攻撃者はメモリ内ペイロードを超えてアクセスを維持できます.
さらに, このバージョンは、ビットコインとイーサリアムのウォレットをターゲットにするように調整されています, ラテンアメリカ諸国でデジタル通貨の人気が高まっているため、これは当然のことです. 報告時, 攻撃者が管理するウォレットが最近の活動を登録した: ビットコインアドレスを受け取った 0.039954 BTC (に相当 $982.83) 4 つの別々のトランザクションからイーサリアム アドレスを受け取りました 0.110915556631181819 ETH (約. $186.32) 3 つの異なる ETH アドレスから, ユニット42のレポートによると.
攻撃者は、多段階攻撃を使用して署名をバイパスしようとしました- およびヒューリスティック ベースのセキュリティ システム. このアプローチには、難読化された PowerShell スクリプトやエンコードされたペイロードなどの難読化手法が含まれていました。, これにより、このマルウェアの検出率が低いことが説明されます. 実際には, VirusTotal は、このマルウェアを検出した少数のベンダーのみを示しています.
Clipper マルウェア攻撃の増加
最近発見されたクリッパー マルウェアの新しいインスタンスは、CryptoClippy だけではありません。.
Kaspersky Lab による別のレポートでは、新しい暗号通貨クリッパー型トロイの木馬が発見されました。 TORブラウザのトロイの木馬化されたインストーラに埋め込まれています. この悪意のあるソフトウェアは、ビットコインなどの暗号通貨を標的にするために使用されていました, イーサリアム, ライトコイン, ドージコイン, とモネロ, 結果的にオーバー 15,000 攻撃 52 国. 最も影響を受けたのはロシア, Torブラウザのブロックにより, 一方、米国, ドイツ, ウズベキスタン, ベラルーシ, 中国, オランダ, イギリス, とフランスが残りのトップを占める 10 影響を受けた国.
これらの攻撃の結果、ユーザーは少なくとも 400,000 米ドルを失ったと推定されています。. Tor ブラウザが関与しない未報告の攻撃のため、この数値はさらに高くなる可能性があります。.