De acordo com um novo relatório da Kaspersky, os agentes de ameaças têm usado instaladores Trojanizados do navegador anônimo TOR para atingir usuários na Rússia e na Europa Oriental com malware clipper desde setembro do ano passado. Este malware é projetado especificamente para desviar criptomoedas, e tem a capacidade de permanecer indetectável por anos. O ataque em questão é um seqüestro de prancheta, e esse tipo de malware geralmente é chamado “malware de corte“.
Malware Clipper, também conhecido como injetor de prancheta, tem sido uma ameaça há vários anos. Este software malicioso é capaz de corromper os dados armazenados na área de transferência, permitindo que seja alterado ou mesmo enviado para o servidor operado pelo invasor. O ataque Kaspersky relatado depende de malware substituindo parte do conteúdo da área de transferência assim que detecta um endereço de carteira nele.
Ataques de malware Clipper em ascensão
Recentemente, As tecnologias da Kaspersky identificaram um desenvolvimento de malware envolvendo o navegador Tor, uma ferramenta frequentemente usada para navegar na deep web, sendo baixado de uma fonte de terceiros na forma de um arquivo RAR protegido por senha. A senha provavelmente destina-se a impedir que as soluções de segurança detectem o arquivo, e uma vez inserido no sistema do usuário, ele se registra no início automático e se disfarça com um ícone de um aplicativo popular como o uTorrent.
Este malware foi usado para atingir criptomoedas como Bitcoin, Ethereum, litecoin, Dogecoin, e Monero, resultando em mais de 15,000 ataques em pelo menos 52 países. A Rússia foi a mais atingida devido ao navegador Tor ser bloqueado no país, enquanto os Estados Unidos, Alemanha, Usbequistão, Belarus, China, Os Países Baixos, o Reino Unido, e a França compõem o topo 10 países afetados. As estimativas atuais colocam a perda total de usuários em pelo menos US$ 400.000, embora seja provavelmente muito maior devido a ataques que não envolvem o Navegador Tor não contabilizados.
Mais sobre o malware Clipper detectado recentemente
Este instalador contém um passivo, malware de injetor de área de transferência sem comunicação que é protegido usando o Enigma Packer v4.0. Os autores deste malware podem ter usado uma versão crackeada do empacotador, pois não possui nenhuma informação de licença.
A carga útil deste malware é bastante simples: ele se integra ao visualizador da área de transferência do Windows e recebe notificações quando os dados da área de transferência são alterados. Se a área de transferência tiver algum texto, ele verifica o conteúdo usando um conjunto de expressões regulares incorporadas. Se uma correspondência for encontrada, é substituído por um endereço escolhido aleatoriamente de uma lista codificada.
“Entre os aproximadamente 16,000 detecções, a maioria foi registrada na Rússia e na Europa Oriental. Contudo, a ameaça se espalhou para pelo menos 52 países do mundo,” Pesquisadores da Kaspersky disseram.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: