Beveiligingsonderzoekers ontdekken een nieuwe clipper-malware campagne gericht op Portugeestaligen.
Maak kennis met CryptoClippy
De eenheid van Palo Alto 42 ploeg onlangs onbedekt een kwaadaardige campagne gericht op Portugeestaligen met een soort malware die bekend staat als een cryptocurrency clipper (clipper-malware). Deze tondeuse, CryptoClippy, bewaakt gebruikers’ klemborden en vervangt elk legitiem adres van de cryptocurrency-portemonnee door dat van de bedreigingsactor, resulterend in slachtoffers die onbewust hun cryptocurrency naar de tegenstander sturen.
Slachtoffers zijn geïdentificeerd vanaf de productie, IT dienst, en vastgoedsectoren, en bevatten waarschijnlijk persoonlijke portemonnee-adressen van degenen die hun werkmachines gebruiken, het verslag wordt opgemerkt. Om de malware af te leveren, bedreigingsactoren gebruikten Google Ads en verkeersdistributiesystemen om gebruikers om te leiden naar kwaadaardige domeinen die de legitieme WhatsApp-webapplicatie imiteren. Na doorverwezen te zijn naar deze domeinen, slachtoffers worden misleid om kwaadaardige .zip- of .exe-bestanden te downloaden die de uiteindelijke payload bevatten.
Hoe gebeurt een CryptoClippy-aanval?
CryptoClippy wordt verspreid via SEO-vergiftiging, waarin een persoon die zoekt naar "WhatsApp Web" wordt omgeleid naar een door een bedreigingsactor gecontroleerd domein. Eenmaal daar, slachtoffers wordt gevraagd een .zip-bestand te downloaden met een .lnk-bestand met kwaadaardige scripts. Deze scripts initiëren vervolgens een reeks gebeurtenissen die de clipper-malware op hun systeem installeren. De malware controleert de klembordactiviteit van het slachtoffer op Bitcoin-transacties, en als hij er een vindt, het vervangt het geldige crypto-portemonneeadres door een adres dat wordt beheerd door de bedreigingsactor.
Welke mogelijkheden heeft CryptoClippy?
Deze variant van CryptoClippy is uitgerust met een reeks mogelijkheden die kwaadwillenden kunnen helpen bij het nastreven van hun doelen voor het stelen van cryptocurrency. Deze omvatten het opzetten van een Remote Desktop Protocol (RDP) backdoor via een RC4-gecodeerd PowerShell-script dat Windows Management Instrumentation bevat (WMI), terminal service register manipulatie, icacls, net-opdrachten en logboeken wissen. Hierdoor kan de aanvaller toegang behouden buiten de payload in het geheugen.
Bovendien, deze versie is afgestemd op Bitcoin- en Ethereum-portefeuilles, wat niet verwonderlijk is vanwege de stijgende populariteit van digitale valuta in Latijns-Amerikaanse landen. Ten tijde van het rapport, de door acteurs bestuurde portefeuilles hebben recente activiteit geregistreerd: het Bitcoin-adres heeft ontvangen 0.039954 BTC (gelijk aan $982.83) van vier afzonderlijke transacties en het Ethereum-adres heeft ontvangen 0.110915556631181819 ETH (ca. $186.32) van drie verschillende ETH-adressen, Dat staat in het rapport van Unit 42.
De aanvallers gebruikten een meertrapsaanval om de handtekening te omzeilen- en op heuristiek gebaseerde beveiligingssystemen. Deze aanpak omvatte verduisteringstechnieken zoals verduisterde PowerShell-scripts en gecodeerde payloads, wat het lage detectiepercentage van deze malware verklaart. In feite, VirusTotal laat maar een paar leveranciers zien die deze malware detecteren.
Clipper Malware-aanvallen nemen toe
CryptoClippy is niet het enige nieuwe exemplaar van clipper-malware dat onlangs in het wild is ontdekt.
Een ander rapport van Kaspersky Lab bracht een nieuwe cryptocurrency clipper trojan aan het licht ingebed in getrojaniseerde installatieprogramma's van de TOR-browser. Deze kwaadaardige software was gebruikt om cryptocurrencies zoals Bitcoin aan te vallen, Ethereum, Litecoin, dogecoin, en Monero, resulterend in voorbij 15,000 aanvallen over 52 landen. Rusland is het meest getroffen, vanwege de blokkering van de Tor-browser, terwijl de Verenigde Staten, Duitsland, Oezbekistan, Wit-Rusland, China, Nederland, het Verenigd Koninkrijk, en Frankrijk vormen de resterende top 10 getroffen landen.
Geschat wordt dat gebruikers ten minste 400.000 dollar hebben verloren als gevolg van deze aanvallen. Het cijfer is waarschijnlijk nog veel hoger vanwege niet-gerapporteerde aanvallen waarbij de Tor-browser niet betrokken is.