Monitorea el portapapeles de una víctima en busca de contenido que coincida con direcciones de criptomonedas
Los usuarios portugueses están siendo atacados por un nuevo malware con nombre en código CryptoClippy que es capaz de robar criptomonedas como parte de una campaña de publicidad maliciosa.
La actividad aprovecha las técnicas de envenenamiento de SEO para atraer a los usuarios que buscan "WhatsApp web" a dominios falsos que alojan el malware, dijo la Unidad 42 de Palo Alto Networks en un nuevo informe publicado ayer.
CryptoClippy, un ejecutable basado en C, es un tipo de cryware conocido como malware clipper que monitorea el portapapeles de una víctima en busca de contenido que coincida con direcciones de criptomonedas y las sustituye con una dirección de billetera bajo el control del actor de amenazas.
"El malware clipper usa expresiones regulares (regexes) para identificar a qué tipo de criptomoneda pertenece la dirección", dijeron los investigadores de la Unidad 42.
"Luego reemplaza la entrada del portapapeles con una dirección de billetera visualmente similar pero controlada por el adversario para la criptomoneda apropiada. Más tarde, cuando la víctima pega la dirección del portapapeles para realizar una transacción, en realidad está enviando criptomonedas directamente al atacante".
Se estima que el esquema ilícito ha generado a sus operadores alrededor de $ 983 hasta el momento, y las víctimas se encuentran en las industrias de fabricación, servicios de TI y bienes raíces.
Vale la pena señalar que los actores de amenazas asociados con el malware GootLoader han adoptado el uso de resultados de búsqueda envenenados para entregar malware.
Otro enfoque utilizado para determinar los objetivos adecuados es un sistema de dirección de tráfico (TDS), que verifica si el idioma preferido del navegador es el portugués y, de ser así, lleva al usuario a una página de destino no autorizada.
Los usuarios que no cumplen con los criterios requeridos son redirigidos al dominio web legítimo de WhatsApp sin más actividad maliciosa, evitando así la detección.
Los hallazgos llegan días después de que SecurityScorecard detallara un ladrón de información llamado Lumma que es capaz de recolectar datos de navegadores web, billeteras de criptomonedas y una variedad de aplicaciones como AnyDesk, FileZilla, KeePass, Steam y Telegram.
