El clipper está diseñado para monitorear el contenido del portapapeles
Los instaladores troyanizados para el navegador de anonimato TOR se utilizan para atacar a usuarios en Rusia y Europa del Este con malware clipper diseñado para desviar criptomonedas desde septiembre de 2022.
"Los inyectores de portapapeles (Clipboard injectors) pueden permanecer en silencio durante años, no mostrar actividad en la red ni ningún otro signo de presencia hasta el desastroso día en que reemplazan una dirección de billetera criptográfica", dijo Vitaly Kamluk, director del equipo de investigación y análisis global (GReAT) para APAC en Kaspersky.
Otro notable aspecto del malware clipper es que sus nefastas funciones no se activan a menos que los datos del portapapeles cumplan con criterios específicos, lo que lo hace más evasivo.
No está claro de inmediato cómo se distribuyen los instaladores, pero la evidencia apunta al uso de descargas de torrents o alguna fuente de terceros desconocida, ya que el sitio web del Proyecto Tor ha sido objeto de bloqueos en Rusia en los últimos años.
Independientemente del método utilizado, el instalador inicia el ejecutable legítimo y, al mismo tiempo, inicia la carga útil del clipper que está diseñado para monitorear el contenido del portapapeles.
"Si el portapapeles contiene texto, escanea el contenido con un conjunto de expresiones regulares incrustadas", señaló Kamluk. "Si encuentra una coincidencia, se reemplaza con una dirección elegida al azar de una lista codificada".
Cada muestra contiene miles de posibles direcciones de reemplazo que se seleccionan al azar. También viene con la capacidad de desactivar el malware mediante una combinación especial de teclas de acceso rápido (Ctrl+Alt+F10), una opción que probablemente se agregó durante la fase de prueba.
La firma rusa de ciberseguridad dijo que registró aproximadamente 16.000 detecciones, de las cuales la mayoría se registran en Rusia y Ucrania, seguidas por Estados Unidos, Alemania, Uzbekistán, Bielorrusia, China, Países Bajos, Reino Unido y Francia. En total, la amenaza se ha detectado en 52 países de todo el mundo.
Se estima que el esquema les ha generado a los operadores casi $400,00 en ganancias ilícitas a través del robo de Bitcoin, Litecoin, Ether y Dogecoin. Se desconoce la cantidad de activos de Monero saqueados debido a las funciones de privacidad integradas en el servicio.
Se sospecha que la campaña podría tener un alcance mayor debido a la posibilidad de que los atacantes puedan aprovechar otros instaladores de software y métodos de entrega hasta ahora desconocidos para apuntar a usuarios desprevenidos.
Para protegerse contra tales amenazas, siempre se recomienda descargar software solo de fuentes contrastadas y confiables.
