Um coletivo de hackers desconhecido está por trás de um ataque de phishing massivo que envolve a criação de um site falso Cryptohopper. Esta é uma plataforma de negociação criptomoeda muito popular que é usado por milhares de usuários. Qualquer interação com qualquer um deles pode levar ao malware infecções de vários tipos.
Falso Cryptohopper Instância Spreads malwares para os visitantes
Uma onda de phishing recente tem sido set em contra usuários criptomoeda como uma farsa perigosa plataforma de negociação Cryptohopper está sendo maciçamente empurrado usando diferentes táticas criminosas. O site réplica está hospedado em um site que se apresenta como o endereço real e pode ser hospedado em vários endereços que utilizam nomes de domínio som semelhantes ao original.
No momento, parece que o principal objetivo do site é entregar um payload Setup.exe automaticamente após a visita. Este é um arquivo codificado que utiliza a imagem do logotipo do site legítimo, a fim de entregar um malware. No momento não há informações disponíveis sobre o coletivo criminosa por trás da campanha em curso. Isso significa que o site de phishing pode ser efetivamente usado para enviar vários tipos de malware:
- ransomware - Estes são os vírus de encriptação de ficheiros perigosos que vai impossibilitar a dados do usuário-chave de acesso. Normalmente, a cifra forte será aplicada a certas extensões de tipo de arquivo, arquivos populares incluem o seguinte: imagens, música, vídeos, bases de dados, Programas ,arquivos e etc. Os arquivos vítima será renomeado com uma determinada extensão e uma nota de resgate será produzido que irá chantagear as vítimas a pagar uma taxa de decodificação para eles.
- Mineiros criptomoeda - Estes são scripts perigosos que irá baixar uma série de tarefas matemáticas complexas que irá colocar um pesado tributo sobre o desempenho das máquinas, incluindo a CPU, memória, espaço em disco e etc. Sempre que um deles for relatado como concluído, as operadoras receberão uma pequena receita diretamente em suas carteiras digitais.
- Trojans - Esses são vírus perigosos que assumirão o controle das máquinas, mantendo uma conexão persistente com um servidor, permitindo que os operadores assumam o controle da máquina.
- Seqüestradores de navegador - Eles são plug-ins perigosos feitos para os navegadores da web mais populares e irão sequestrar dados do usuário e manipulá-los para que sempre abram certos sites controlados por hackers.
No momento em que a campanha de ataque em curso está definida para distribuir o Vidar Trojan.
Sua configuração irá baixar duas outras ameaças de malware nas máquinas infectadas e suas bibliotecas associadas. O que sabemos do relatório de segurança é que eles atuarão como dois motores independentes. O primeiro será focado em baixar e executar um código mineiro criptomoeda. O segundo atuará como um sequestrador de prancheta que focalizará sua atenção na entrada do usuário e adquirirá todas as informações confidenciais inseridas. Outras ações de malware que podem ser executadas pelo malware distribuído pelas falsas instâncias do Cryptohopper incluem o seguinte:
- Instalação persistente - O amlware principal que é entregue, neste caso, o Trojan Vidar, pode ser adicionado às opções de inicialização como uma entrada. Isso significa que a ameaça será lançada assim que o computador for ligado.
- Os dados de colheita - A aquisição de informações confidenciais pode ser feita procurando por strings que podem revelar muitos dados sobre as vítimas ou suas máquinas. As seguintes strings podem ser sequestradas: dados do navegador da web, credenciais da conta armazenados, carteiras criptomoeda, documentos, arquivos de texto, dados de formulário e capturas de tela geradas automaticamente.
O sequestrador de área de transferência, que é o segundo módulo ativado neste lançamento de campanha, também procurará quaisquer endereços de carteiras de criptomoedas com as quais haja interação durante as sessões da web. Sempre que tal operação for detectada, o mecanismo irá substituir automaticamente os endereços por outros planejados por hackers. As amostras adquiridas agirão contra as seguintes moedas:
Ethereum, Bitcoin,Bitcoin dinheiro, DOGE, Traço, litecoin, Zcash, Ouro bitcoin, QTUM e Ripple
Todas as vítimas que suspeitam que podem ser vítimas de tais infecções ou encontram sites falsos do Cryptohopper devem tomar as precauções necessárias e proteger seus sistemas contra infecções por malware.