O malware Clipsa WordPress é um novo ataque global que é contra blogs que são alimentados por este sistema de gerenciamento de conteúdo. No momento não há informações sobre os perpetradores, porém podemos concluir que eles são muito experientes. Este vírus WordPress irá forçar os sites alvo e também implantar outro malware, como um sequestrador de área de transferência.
O malware Clipsa WordPress é aproveitado contra blogs em todo o mundo
Os proprietários de blogs WordPress devem ser muito cautelosos com seus sites, pois os relatórios de segurança indicam que um novo vírus específico do WordPress foi descoberto. É conhecido como malware Clipsa WordPress e executa uma sequência complexa de ações maliciosas assim que a infecção é feita. No momento, a maioria dos países relatados incluem os seguintes: Índia, Bangladesh, as Filipinas, Brasil, Paquistão, Espanha, e itália.
A principal técnica que é usada para distribuí-lo contra os alvos pretendidos é via ataques de força bruta. O vírus tentará adivinhar a credencial da conta do site usando este processo automatizado - isso pode ser feito usando listas de palavras baseadas em dicionário ou um algoritmo.
Assim que o malware violar o site, ele procurará por um arquivos wallet.dat - estes são os arquivos de dados comuns usados pelo software de carteira de criptomoeda. Se os hackers identificarem esse arquivo, ele será imediatamente sequestrado e enviado para os hackers. Isso permitirá que retirem fundos e substituam os endereços de entrada. Efetivamente, isso significa que as transações que são encaminhadas para este endereço podem ser substituídas e enviadas para os criminosos.
A sequência de malware também pesquisará quaisquer arquivos TXT carregados em busca de strings no formato BIP-39 que é usado para armazenar frases de recuperação de sementes de Bitcoin. Em alguns casos, eles podem servir como credenciais para carteiras de criptomoedas. Se forem encontrados, os valores serão armazenados em um arquivo separado e enviados para um servidor especial. Um processo distinto é o upload de um sequestrador de prancheta - uma ferramenta maliciosa que monitora o conteúdo da área de transferência à medida que é inserido por ambos os proprietários e usuários. Um gatilho automático pode ser definido se um padrão de texto relacionado à criptomoeda for inserido.
Em alguns casos, o malware Clipsa WordPress pode implantar vários mineiros criptomoeda nas páginas hospedadas do blog. Eles podem assumir a forma de scripts de pequeno porte que os ativarão assim que as páginas forem abertas. Eles se destinam a baixar uma sequência de tarefas maliciosas que terão um grande impacto no desempenho do sistema.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: