Huis > Cyber ​​Nieuws > New CryptoClippy Malware Targets Portuguese Cryptocurrency Owners
CYBER NEWS

Nieuwe CryptoClippy-malware richt zich op Portugese eigenaren van cryptocurrency

Beveiligingsonderzoekers ontdekken een nieuwe clipper-malware campagne gericht op Portugeestaligen.

Maak kennis met CryptoClippy

De eenheid van Palo Alto 42 ploeg onlangs onbedekt een kwaadaardige campagne gericht op Portugeestaligen met een soort malware die bekend staat als een cryptocurrency clipper (clipper-malware). Deze tondeuse, CryptoClippy, bewaakt gebruikers’ klemborden en vervangt elk legitiem adres van de cryptocurrency-portemonnee door dat van de bedreigingsactor, resulterend in slachtoffers die onbewust hun cryptocurrency naar de tegenstander sturen.

Nieuwe CryptoClippy-malware richt zich op Portugese eigenaren van cryptocurrency

Slachtoffers zijn geïdentificeerd vanaf de productie, IT dienst, en vastgoedsectoren, en bevatten waarschijnlijk persoonlijke portemonnee-adressen van degenen die hun werkmachines gebruiken, het verslag wordt opgemerkt. Om de malware af te leveren, bedreigingsactoren gebruikten Google Ads en verkeersdistributiesystemen om gebruikers om te leiden naar kwaadaardige domeinen die de legitieme WhatsApp-webapplicatie imiteren. Na doorverwezen te zijn naar deze domeinen, slachtoffers worden misleid om kwaadaardige .zip- of .exe-bestanden te downloaden die de uiteindelijke payload bevatten.




Hoe gebeurt een CryptoClippy-aanval?

CryptoClippy wordt verspreid via SEO-vergiftiging, waarin een persoon die zoekt naar "WhatsApp Web" wordt omgeleid naar een door een bedreigingsactor gecontroleerd domein. Eenmaal daar, slachtoffers wordt gevraagd een .zip-bestand te downloaden met een .lnk-bestand met kwaadaardige scripts. Deze scripts initiëren vervolgens een reeks gebeurtenissen die de clipper-malware op hun systeem installeren. De malware controleert de klembordactiviteit van het slachtoffer op Bitcoin-transacties, en als hij er een vindt, het vervangt het geldige crypto-portemonneeadres door een adres dat wordt beheerd door de bedreigingsactor.

Welke mogelijkheden heeft CryptoClippy?

Deze variant van CryptoClippy is uitgerust met een reeks mogelijkheden die kwaadwillenden kunnen helpen bij het nastreven van hun doelen voor het stelen van cryptocurrency. Deze omvatten het opzetten van een Remote Desktop Protocol (RDP) backdoor via een RC4-gecodeerd PowerShell-script dat Windows Management Instrumentation bevat (WMI), terminal service register manipulatie, icacls, net-opdrachten en logboeken wissen. Hierdoor kan de aanvaller toegang behouden buiten de payload in het geheugen.

Bovendien, deze versie is afgestemd op Bitcoin- en Ethereum-portefeuilles, wat niet verwonderlijk is vanwege de stijgende populariteit van digitale valuta in Latijns-Amerikaanse landen. Ten tijde van het rapport, de door acteurs bestuurde portefeuilles hebben recente activiteit geregistreerd: het Bitcoin-adres heeft ontvangen 0.039954 BTC (gelijk aan $982.83) van vier afzonderlijke transacties en het Ethereum-adres heeft ontvangen 0.110915556631181819 ETH (ca. $186.32) van drie verschillende ETH-adressen, Dat staat in het rapport van Unit 42.

De aanvallers gebruikten een meertrapsaanval om de handtekening te omzeilen- en op heuristiek gebaseerde beveiligingssystemen. Deze aanpak omvatte verduisteringstechnieken zoals verduisterde PowerShell-scripts en gecodeerde payloads, wat het lage detectiepercentage van deze malware verklaart. In feite, VirusTotal laat maar een paar leveranciers zien die deze malware detecteren.

Clipper Malware-aanvallen nemen toe

CryptoClippy is niet het enige nieuwe exemplaar van clipper-malware dat onlangs in het wild is ontdekt.




Een ander rapport van Kaspersky Lab bracht een nieuwe cryptocurrency clipper trojan aan het licht ingebed in getrojaniseerde installatieprogramma's van de TOR-browser. Deze kwaadaardige software was gebruikt om cryptocurrencies zoals Bitcoin aan te vallen, Ethereum, Litecoin, dogecoin, en Monero, resulterend in voorbij 15,000 aanvallen over 52 landen. Rusland is het meest getroffen, vanwege de blokkering van de Tor-browser, terwijl de Verenigde Staten, Duitsland, Oezbekistan, Wit-Rusland, China, Nederland, het Verenigd Koninkrijk, en Frankrijk vormen de resterende top 10 getroffen landen.

Geschat wordt dat gebruikers ten minste 400.000 dollar hebben verloren als gevolg van deze aanvallen. Het cijfer is waarschijnlijk nog veel hoger vanwege niet-gerapporteerde aanvallen waarbij de Tor-browser niet betrokken is.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens