Οι Πορτογάλοι χρήστες θα πρέπει να είναι προσεκτικοί με το CryptoClippy, μια νέα μορφή κακόβουλου λογισμικού που τους στοχεύει σε μια malvertising εκστρατεία. Αυτό το κακόβουλο λογισμικό είναι ικανό να κλέψει cryptocurrency αν οι ανυποψίαστοι χρήστες δεν είναι προσεκτικοί.
Δείτε επίσης: Το FBI έκλεισε το διαβόητο hacker marketplace Genesis Market
Σύμφωνα με μια έκθεση που δημοσίευσε σήμερα η Unit 42 της Palo Alto Networks, κακόβουλοι φορείς χρησιμοποιούν τεχνικές SEO poisoning για να παρασύρουν τους χρήστες που αναζητούν το “WhatsApp web” σε παραπλανητικά domain που περιέχουν κακόβουλο λογισμικό.
Το CryptoClippy, ένα κακόβουλο εκτελέσιμο αρχείο βασισμένο σε C, είναι ένα παράδειγμα cryware, γνωστό ως κακόβουλο λογισμικό clipper. Αυτός ο τύπος malware στοχεύει τα θύματα παρακολουθώντας το πρόχειρο για διευθύνσεις cryptocurrency και αντικαθιστώντας τες με τη διεύθυνση πορτοφολιού του ίδιου του εισβολέα.
“Το clipper malware χρησιμοποιεί κανονικές εκφράσεις (regexes) για να προσδιορίσει σε ποιον τύπο κρυπτονομίσματος ανήκει η διεύθυνση”, είπαν οι ερευνητές της Unit 42.
Δείτε επίσης: STYX: Νέο dark web marketplace με εστίαση σε οικονομικές απάτες
“Στη συνέχεια αντικαθιστά το clipboard entry με μια οπτικά παρόμοια αλλά ελεγχόμενη από αντίπαλο διεύθυνση πορτοφολιού για το κατάλληλο cryptocurrency. Αργότερα, όταν το θύμα επικολλήσει τη διεύθυνση από το πρόχειρο για να πραγματοποιήσει μια συναλλαγή, στην πραγματικότητα στέλνει κρυπτονομίσματα απευθείας στον απειλητικό παράγοντα.”
Το παράνομο σύστημα εκτιμάται ότι έχει αποφέρει στους χειριστές του περίπου 983 δολάρια μέχρι στιγμής, με θύματα να έχουν εντοπιστεί σε κλάδους παραγωγής, υπηρεσιών πληροφορικής και ακινήτων.
Αξίζει να τονιστεί ότι οι κακόβουλοι φορείς που συνδέονται με το κακόβουλο λογισμικό GootLoader έχουν υιοθετήσει τη χρήση των poisoned αποτελεσμάτων αναζήτησης ως εργαλείο για τη διάδοση του μολυσματικού τους κώδικα.
Δείτε επίσης: Google Play: Θα απαγορεύσει σε apps δανείων να έχουν πρόσβαση σε φωτογραφίες και επαφές χρηστών
Μια άλλη προσέγγιση που χρησιμοποιείται για τον προσδιορισμό των κατάλληλων στόχων είναι ένα σύστημα κατεύθυνσης κυκλοφορίας (TDS), το οποίο ελέγχει εάν η προτιμώμενη γλώσσα του προγράμματος περιήγησης είναι τα πορτογαλικά και, αν ναι, οδηγεί τον χρήστη σε ένα rogue landing page.
Σε περίπτωση που κάποιοι χρήστες δεν πληρούν τα απαιτούμενα κριτήρια, θα μεταφερθούν απρόσκοπτα και με ασφάλεια στο νόμιμο domain του WhatsApp Web, χωρίς να λαμβάνει χώρα κακόβουλη δραστηριότητα που θα μπορούσε να οδηγήσει σε εντοπισμό.
Τα ευρήματα φτάνουν μέρες αφότου η SecurityScorecard παρουσίασε έναν information stealer που ονομάζεται Lumma, ο οποίος είναι ικανός να συλλέγει δεδομένα από προγράμματα περιήγησης ιστού, cryptocurrency wallets και μια ποικιλία εφαρμογών όπως AnyDesk, FileZilla, KeePass, Steam και Telegram.
Πηγή πληροφοριών: thehackernews.com
