La proliferación general de malware centrado en criptomonedas ha adquirido impulso en los últimos años. Unit 42, de Palo Alto Networks descubrió recientemente una campaña de malware dirigida a los hablantes de portugués, que tiene como objetivo redirigir la criptomoneda lejos de las billeteras de los usuarios legítimos hacia carteras controladas por actores de amenazas.
Para hacer esto, se utiliza un tipo de malware conocido como “cryptocurrency clipper” o cortador de criptomonedas, el cual examina continuamente el portapapeles de la víctima a través de una tarea programada para ver si han copiado una dirección de billetera de criptomonedas. La idea detrás de esto es que, si una persona copia la dirección de una billetera en el portapapeles, indica que podría estar en el proceso de transferir criptomonedas de una billetera a otra.
El malware, al que se refieren como CryptoClippy, busca reemplazar la dirección real de la billetera del usuario con la del actor de la amenaza, lo que provoca que el usuario, sin darse cuenta, envíe criptomonedas al ciberdelincuente. El equipo de caza de amenazas gestionadas de Unit 42 encontró víctimas en las industrias de fabricación, servicios de TI y bienes raíces, aunque probablemente afectaron las direcciones de la billetera personal de alguien que usaba su máquina del trabajo.
Para que el malware entrara las computadoras de los usuarios, los actores de amenazas utilizaron Google Ads y sistemas de distribución de tráfico (TDS) para redirigir a las víctimas a dominios maliciosos que se hacen pasar por la aplicación web legítima de WhatsApp. Usan este método para asegurarse de que las víctimas sean usuarios reales y también que hablen portugués. Para los usuarios que son enviados a dominios maliciosos, la amenaza intenta engañarlos para que descarguen archivos maliciosos, incluidos archivos tipo .zip o .exe, que conducen a la carga útil final.
El cryptocurrency clipper utiliza expresiones regulares (regexes) para identificar a qué tipo de criptomoneda pertenece la dirección, luego, reemplaza la entrada del portapapeles con una dirección de billetera visualmente similar pero controlada por el actor de amenazas para la criptomoneda apropiada. Más tarde, cuando la víctima pega la dirección del portapapeles para realizar una transacción, en realidad está enviando criptomonedas directamente al atacante. Dado que las direcciones de billetera suelen ser muy largas, a veces superan los 40 caracteres alfanuméricos, muchas personas no notarán este cambio de dirección. Esto contribuye a la efectividad del cryptocurrency clipper.
Los clientes de Palo Alto Networks reciben protección contra esta campaña a través de Cortex XDR. Los servicios de seguridad proporcionados por la nube de Advanced URL Filtering y DNS Security para el Firewall de próxima generación identifican los dominios asociados con la campaña CryptoClippy como maliciosos.