CryptoClippy: Novo Malware Clipper Ataca Usuários Portugueses de Criptomoedas
6 de Abril de 2023

Usuários de língua portuguesa estão sendo alvo de um novo malware chamado CryptoClippy, capaz de roubar criptomoedas como parte de uma campanha de malvertising.

A atividade utiliza técnicas de envenenamento de SEO para atrair usuários que procuram por "WhatsApp web" para domínios falsos que hospedam o malware, segundo um novo relatório publicado hoje pela Palo Alto Networks Unit 42.

O CryptoClippy é um executável baseado em linguagem C, um tipo de malware conhecido como clipper que monitora a área de transferência do computador da vítima em busca de conteúdo que corresponda a endereços de criptomoedas, substituindo-os por um endereço de carteira sob o controle do agente de ameaça.

"O malware clipper usa expressões regulares (regexes) para identificar a que tipo de criptomoeda o endereço pertence", afirmam os pesquisadores da Unit 42.

"Em seguida, substitui a entrada da área de transferência por um endereço de carteira visualmente semelhante, mas controlado pelo adversário, para a criptomoeda correspondente.

Mais tarde, quando a vítima cola o endereço da área de transferência para realizar uma transação, eles estão enviando criptomoedas diretamente para o agente de ameaça."

Estima-se que o esquema ilícito tenha rendido cerca de US$ 983 até o momento, com vítimas encontradas nos setores de manufatura, serviços de TI e imobiliário.

Vale ressaltar que o uso de resultados de busca envenenados para distribuir malware foi adotado por agentes de ameaça associados ao malware GootLoader.

Outra abordagem usada para determinar alvos adequados é um sistema de direcionamento de tráfego (TDS), que verifica se o idioma preferido do navegador é o português e, se for o caso, leva o usuário a uma página de destino fraudulenta.

Os usuários que não atendem aos critérios necessários são redirecionados para o domínio legítimo do WhatsApp Web sem qualquer atividade maliciosa adicional, evitando assim a detecção.

As descobertas chegam dias depois que a SecurityScorecard detalhou um roubo de informações chamado Lumma, capaz de coletar dados de navegadores da web, carteiras de criptomoedas e uma variedade de aplicativos, como AnyDesk, FileZilla, KeePass, Steam e Telegram.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...