Pesquisadores de segurança descobrem um novo malware de corte campanha segmentada para falantes de português.
Conheça o CryptoClippy
Unidade de Palo Alto 42 equipe recentemente descoberto uma campanha maliciosa que tem como alvo falantes de português com um tipo de malware conhecido como clipper de criptomoeda (malware de corte). Este aparador, CryptoClippy, monitora usuários’ pranchetas e substitui qualquer endereço de carteira de criptomoeda legítimo com o do agente da ameaça, resultando em vítimas involuntariamente enviando sua criptomoeda para o adversário.
As vítimas foram identificadas desde a fabricação, serviços de TI, e indústrias imobiliárias, e provavelmente incluem endereços de carteira pessoal daqueles que usam suas máquinas de trabalho, o relatório observou. Para entregar o malware, os agentes de ameaças empregaram o Google Ads e sistemas de distribuição de tráfego para redirecionar os usuários para domínios maliciosos que imitam o aplicativo legítimo da Web do WhatsApp. Ao ser direcionado para esses domínios, as vítimas são induzidas a baixar arquivos .zip ou .exe maliciosos que contêm a carga final.
Como acontece um ataque CryptoClippy?
CryptoClippy é espalhado por envenenamento de SEO, em que uma pessoa que pesquisa por “WhatsApp Web” é direcionada para um domínio controlado por um ator de ameaça. Uma vez lá, as vítimas são solicitadas a baixar um arquivo .zip com um arquivo .lnk contendo scripts maliciosos. Esses scripts iniciam uma cadeia de eventos que instala o malware clipper em seu sistema. O malware monitora a atividade da área de transferência da vítima para transações de Bitcoin, e se encontrar um, ele substitui o endereço válido da carteira criptográfica por um controlado pelo agente da ameaça.
Quais recursos o CryptoClippy possui?
Esta variante do CryptoClippy está equipada com uma variedade de recursos que podem ajudar o agente mal-intencionado a perseguir seus objetivos de roubo de criptomoedas. Isso inclui a configuração de um Protocolo de Área de Trabalho Remota (RDP) backdoor por meio de um script do PowerShell criptografado por RC4 que incorpora a Instrumentação de gerenciamento do Windows (WMI), manipulação de registro de serviço de terminal, icacls, comandos net e limpeza de log. Isso permite que o invasor mantenha o acesso além da carga útil na memória.
além disso, esta versão é adaptada para visar carteiras Bitcoin e Ethereum, o que não é surpreendente devido à crescente popularidade das moedas digitais nos países latino-americanos. Na hora do relatório, as carteiras controladas por atores registraram atividade recente: o endereço Bitcoin recebeu 0.039954 BTC (equivalente a $982.83) de quatro transações separadas e o endereço Ethereum recebeu 0.110915556631181819 ETH (Aproximadamente. $186.32) de três endereços ETH diferentes, O relatório da Unidade 42 disse.
Os invasores empregaram um ataque em vários estágios para tentar contornar a assinatura- e sistemas de segurança baseados em heurística. Essa abordagem incluía técnicas de ofuscação, como scripts ofuscados do PowerShell e cargas codificadas, explicando assim a baixa taxa de detecção deste malware. De fato, O VirusTotal mostra apenas alguns fornecedores que detectam esse malware.
Ataques de malware Clipper em ascensão
CryptoClippy não é a única nova instância de malware clipper descoberta recentemente na natureza.
Outro relatório da Kaspersky Lab descobriu um novo trojan clipper de criptomoeda que havia sido incorporado em instaladores trojanizados do navegador TOR. Este software malicioso foi usado para atingir criptomoedas como Bitcoin, Ethereum, litecoin, Dogecoin, e Monero, resultando em mais 15,000 ataques através 52 países. A Rússia foi o país mais afetado, devido ao bloqueio do navegador Tor, enquanto os Estados Unidos, Alemanha, Usbequistão, Belarus, China, Os Países Baixos, o Reino Unido, e a França compõem o topo restante 10 países afetados.
Estima-se que os usuários tenham perdido pelo menos US$ 400.000 como resultado desses ataques. O número provavelmente é ainda maior devido a ataques não relatados que não envolvem o navegador Tor.