Los usuarios portugueses están siendo atacados por un nuevo malware con nombre en código CryptoClippy eso es capaz de robar criptomonedas como parte de una campaña de publicidad maliciosa.
La actividad aprovecha las técnicas de envenenamiento de SEO para atraer a los usuarios que buscan «WhatsApp web» a los dominios falsos que alojan el malware, Unidad 42 de Palo Alto Networks dicho en un nuevo informe publicado hoy.
CryptoClippy, un ejecutable basado en C, es un tipo de cryware conocido como malware clipper que monitorea el portapapeles de una víctima en busca de contenido que coincida con direcciones de criptomonedas y las sustituye con una dirección de billetera bajo el control del actor de amenazas.
«El malware clipper usa expresiones regulares (regexes) para identificar a qué tipo de criptomoneda pertenece la dirección», dijeron los investigadores de la Unidad 42.
«Luego reemplaza la entrada del portapapeles con una dirección de billetera visualmente similar pero controlada por el adversario para la criptomoneda apropiada. Más tarde, cuando la víctima pega la dirección del portapapeles para realizar una transacción, en realidad está enviando criptomonedas directamente al actor de la amenaza».
Se estima que el esquema ilícito ha generado a sus operadores alrededor de $ 983 hasta el momento, y las víctimas se encuentran en las industrias de fabricación, servicios de TI y bienes raíces.
Vale la pena señalar que los actores de amenazas asociados con GootLoader han adoptado el uso de resultados de búsqueda envenenados para entregar malware. malware.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Otro enfoque utilizado para determinar los objetivos adecuados es un sistema de dirección de tráfico (TDS), que verifica si el idioma preferido del navegador es el portugués y, de ser así, lleva al usuario a una página de destino no autorizada.
Los usuarios que no cumplen con los criterios requeridos son redirigidos al dominio web legítimo de WhatsApp sin más actividad maliciosa, evitando así la detección.
Los hallazgos llegan días después de que SecurityScorecard detallara a un ladrón de información llamado lumma que es capaz de recopilar datos de navegadores web, billeteras de criptomonedas y una variedad de aplicaciones como AnyDesk, FileZilla, KeePass, Steam y Telegram.