El mercado de criptomonedas tiene un nuevo problema, CryptoClippy.
¿Tendrá algo que ver el anuncio de una nueva criptomoneda brasileña con este nuevo malware?
El mundo y los creyentes del Blockchain esperan un poco de paz y estabilidad en el mercado de las criptomonedas.
Pero parece que ese anhelado momento no ocurrirá en 2023 pues la crisis de bancos y de los exchanges no están dando paz ni tregua.
Por si fuera poco, la proliferación general de malware centrado en criptomonedas ha adquirido impulso en los últimos años.
Unit 42, de Palo Alto Networks, líder mundial en ciberseguridad, descubrió recientemente una campaña de malware dirigida a los hablantes de portugués.
La misma tiene como objetivo redirigir la criptomoneda lejos de las billeteras de los usuarios legítimos hacia carteras controladas por actores de amenazas.
Para hacer esto, se utiliza un tipo de malware conocido como “cryptocurrency clipper” o cortador de criptomonedas, el cual examina continuamente el portapapeles de la víctima a través de una tarea programada para ver si han copiado una dirección de billetera de criptomonedas.
La idea detrás de esto es que, si una persona copia la dirección de una billetera en el portapapeles, indica que podría estar en el proceso de transferir criptomonedas de una billetera a otra.
Un carterista bilingüe
El malware, al que los especialistas de la Unit 42 de PAN refieren como CryptoClippy, busca reemplazar la dirección real de la billetera del usuario con la del actor de la amenaza.
Esto deriva en que el usuario, sin darse cuenta, envia criptomonedas al ciberdelincuente. Auch.
El equipo de caza de amenazas gestionadas de Unit 42 encontró víctimas en las industrias de fabricación, servicios de TI y bienes raíces aunque, probablemente, afectaron las direcciones de la billetera personal de alguien que usaba su máquina del trabajo.
Para que el malware entrara las computadoras de los usuarios los actores de amenazas utilizaron Google Ads y sistemas de distribución de tráfico (TDS).
De esta manera redirigieron a las víctimas a dominios maliciosos que se hacen pasar por la aplicación web legítima de WhatsApp.
Este método es usado para asegurar que las víctimas sean usuarios reales y, por supuesto, que hablen portugués.
A los usuarios que son enviados a dominios maliciosos, la amenaza intenta engañarlos para que descarguen archivos maliciosos, incluidos archivos tipo .zip o .exe, que conducen a la carga útil final.
Engaño en varias fases
Igualmente, explicaron los especialistas de Palo Alto Network que, en el caso de CryptoClippy, el cryptocurrency clipper utiliza expresiones regulares (regexes) para identificar a qué tipo de criptomoneda pertenece la dirección.
Luego, reemplaza la entrada del portapapeles con una dirección de billetera visualmente similar pero controlada por el actor de amenazas para la criptomoneda apropiada.
Más tarde, cuando la víctima pega la dirección del portapapeles para realizar una transacción, en realidad está enviando criptomonedas directamente al atacante.
¿Y por qué nadie se da cuenta? Debido a una falla de origen del sistema qué debería ser corregida muy pronti: las direcciones de billetera suelen ser muy largas (llegan a superan los 40 caracteres alfanuméricos).
Eso permite que muchas personas no noten ni éste ni ningún cambio de dirección.
El blog completo de Unit 42 de la actividad de CryptoClippy se encuentra disponible aquí.