Los instaladores troyanizados para el navegador de anonimato TOR se utilizan para atacar a usuarios en Rusia y Europa del Este con malware clipper diseñado para desviar criptomonedas desde septiembre de 2022.
«Inyectores de portapapeles […] pueden permanecer en silencio durante años, no mostrar actividad en la red ni ningún otro signo de presencia hasta el desastroso día en que reemplazan una dirección de billetera criptográfica», Vitaly Kamluk, director del equipo de investigación y análisis global (GReAT) para APAC en Kaspersky, dicho.
Otro aspecto notable del malware clipper es que sus funciones nefastas no se activan a menos que los datos del portapapeles cumplan con un criterio específico, lo que lo hace más evasivo.
No está claro de inmediato cómo se distribuyen los instaladores, pero la evidencia apunta al uso de descargas de torrents o alguna fuente de terceros desconocida ya que el sitio web del Proyecto Tor ha sido sometido a bloqueos en Rusia en años recientes.
Independientemente del método utilizado, el instalador inicia el ejecutable legítimo y, al mismo tiempo, inicia la carga útil del clipper que está diseñado para monitorear el contenido del portapapeles.
«Si el portapapeles contiene texto, escanea el contenido con un conjunto de expresiones regulares incrustadas», señaló Kamluk. «Si encuentra una coincidencia, se reemplaza con una dirección elegida al azar de una lista codificada».
Cada muestra contiene miles de posibles direcciones de reemplazo que se seleccionan al azar. También viene con la capacidad de desactivar el malware mediante una combinación especial de teclas de acceso rápido (Ctrl+Alt+F10), una opción que probablemente se agregó durante la fase de prueba.
La firma rusa de ciberseguridad dijo que registró aproximadamente 16.000 detecciones, de las cuales la mayoría se registran en Rusia y Ucrania, seguidas de Estados Unidos, Alemania, Uzbekistán, Bielorrusia, China, Países Bajos, Reino Unido y Francia. En total, la amenaza se ha detectado en 52 países de todo el mundo.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Se estima que el esquema les ha generado a los operadores casi $400,00 en ganancias ilícitas a través del robo de Bitcoin, Litecoin, Ether y Dogecoin. Se desconoce el monto de los activos de Monero expoliados debido a la funciones de privacidad integrado en el servicio.
Se sospecha que la campaña podría tener un alcance mayor debido a la posibilidad de que los atacantes puedan aprovechar otros instaladores de software y métodos de entrega hasta ahora desconocidos para apuntar a usuarios desprevenidos.
Para protegerse contra tales amenazas, siempre se recomienda descargar software solo de fuentes confiables y confiables.