Usuários de língua portuguesa estão sendo alvo de um novo malware chamado CryptoClippy, capaz de roubar criptomoedas como parte de uma campanha de malvertising.
A atividade utiliza técnicas de envenenamento de SEO para atrair usuários que procuram por "WhatsApp web" para domínios falsos que hospedam o malware, segundo um novo relatório publicado hoje pela Palo Alto Networks Unit 42.
O CryptoClippy é um executável baseado em linguagem C, um tipo de malware conhecido como clipper que monitora a área de transferência do computador da vítima em busca de conteúdo que corresponda a endereços de criptomoedas, substituindo-os por um endereço de carteira sob o controle do agente de ameaça.
"O malware clipper usa expressões regulares (regexes) para identificar a que tipo de criptomoeda o endereço pertence", afirmam os pesquisadores da Unit 42.
"Em seguida, substitui a entrada da área de transferência por um endereço de carteira visualmente semelhante, mas controlado pelo adversário, para a criptomoeda correspondente.
Mais tarde, quando a vítima cola o endereço da área de transferência para realizar uma transação, eles estão enviando criptomoedas diretamente para o agente de ameaça."
Estima-se que o esquema ilícito tenha rendido cerca de US$ 983 até o momento, com vítimas encontradas nos setores de manufatura, serviços de TI e imobiliário.
Vale ressaltar que o uso de resultados de busca envenenados para distribuir malware foi adotado por agentes de ameaça associados ao malware GootLoader.
Outra abordagem usada para determinar alvos adequados é um sistema de direcionamento de tráfego (TDS), que verifica se o idioma preferido do navegador é o português e, se for o caso, leva o usuário a uma página de destino fraudulenta.
Os usuários que não atendem aos critérios necessários são redirecionados para o domínio legítimo do WhatsApp Web sem qualquer atividade maliciosa adicional, evitando assim a detecção.
As descobertas chegam dias depois que a SecurityScorecard detalhou um roubo de informações chamado Lumma, capaz de coletar dados de navegadores da web, carteiras de criptomoedas e uma variedade de aplicativos, como AnyDesk, FileZilla, KeePass, Steam e Telegram.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...