Pesquisadores de segurança descobriram uma operação maliciosa que fez pelo menos $1.7 milhões de mineração criptomoeda e seqüestro de área de transferência. Desenterrado pela equipe de caçadores de ameaças da Symantec, o malware na operação, ClipMiner, compartilha muitas semelhanças com o Trojan KryptoCibule, e pode ser um imitador.
ClipMiner em detalhes
Distribuição
Como a maioria dos trojans, O ClipMiner também é distribuído via downloads trojanizados de software pirata ou crackeado. O minerador vem na forma de um arquivo WinRAR auto-extraível, soltando e executando um downloader. O último chega como uma DLL executável portátil compactada com a extensão de arquivo CPL, mesmo que não siga o formato CPL. O arquivo se conecta à rede Tor e baixa os componentes do minerador.
capacidades
Os recursos do minerador estão focados na mineração de criptomoedas, e modificar o conteúdo da área de transferência na tentativa de redirecionar as transações criptográficas dos usuários. “Em cada atualização da área de transferência, ele verifica o conteúdo da área de transferência em busca de endereços de carteira, reconhecendo formatos de endereço usados por pelo menos uma dúzia de criptomoedas diferentes,”Disse o relatório. Esses endereços são então substituídos pelos dos operadores de ameaças, e para a maioria existem várias substituições para escolher.
O ClipMiner então escolhe o endereço que corresponde ao prefixo do endereço a ser substituído, e desta forma é altamente improvável que a vítima perceba a manipulação. De acordo com as descobertas, o malware usa 4,375 endereços de carteira exclusivos, das quais 3,677 são usados para apenas três formatos diferentes de endereços Bitcoin.
Analisando apenas endereços de carteira Bitcoin e Ethereum, os pesquisadores descobriram que eles continham aproximadamente 34.3 Bitcoin e 129.9 Ethereum no momento da escrita. Alguns fundos foram transferidos para copos de criptomoedas (serviços de mixagem), que misturam fundos potencialmente identificáveis com outros com a ideia de obscurecer o caminho de volta à fonte original do fundo. “Se incluirmos os fundos transferidos para esses serviços, os operadores de malware potencialmente fizeram pelo menos $1.7 milhões apenas do sequestro da área de transferência," o relatório notado.
A evolução do roubo de criptomoedas
Em uma nota diferente, é curioso mencionar que os cibercriminosos foram adotando algumas novas técnicas em suas operações de criptomineração. Lavagem de negociação, por exemplo, é uma prática que envolve criminosos executando uma transação em que o vendedor está em ambos os lados do comércio, criar uma imagem enganosa do valor e da liquidez de um ativo.
Outros truques incluem o seguinte:
- Ataques de empréstimo instantâneo – os membros da bolsa podem emprestar e reembolsar rapidamente os fundos sem qualquer garantia, abusando dos recursos do contrato inteligente para aumentar as taxas de câmbio.
- Puxadores de tapete – os desenvolvedores de um novo token abandonam rapidamente seu projeto e desaparecem com os fundos investidos.
- Chain hopping – movendo fundos de um tipo de criptografia para uma série de outros na tentativa de ofuscar suas transações.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: