Portugalski korisnici su na meti novog malicioznog softvera kodnog imena CryptoClippy koji je sposoban ukrasti kriptovalute kao dio maliciozne kampanje.
Ova aktivnost koristi tehnike trovanja SEO kako bi privukla korisnike koji pretražuju “WhatsApp web” na lažne domene u kojima se nalazi maliciozni softver, navodi Palo Alto Networks Unit 42 u novom izvještaju.
CryptoClippy, izvršni program zasnovan na C, je vrsta cryware-a poznatog kao Clippy malver koji prati međuspremnik žrtve radi sadržaja koji odgovara adresama kriptovaluta i zamjenjuje ih adresom novčanika pod kontrolom hakera.
“Maliciozni softver Clippy koristi regexe da identifikuje na koju vrstu kriptovalute se adresa odnosi” rekli su istraživači Unit 42.
“Ona zatim zamjenjuje unos međuspremnika s vizuelno sličnom, ali adresom novčanika kontrolisanom protivnikom za odgovarajuću kriptovalutu. Kasnije, kada žrtva zalijepi adresu iz međuspremnika kako bi izvršila transakciju, ona zapravo šalje kriptovalutu direktno hakeru.”
Procjenjuje se da je ilegalna šema do sada zaradila svojim operaterima oko 983 dolara, a žrtve su pronađene u proizvodnji, IT uslugama i industriji nekretnina.
Vrijedi napomenuti da su korištenje zatrovanih rezultata pretraživanja za isporuku malicioznog softvera usvojili hakeri povezani sa malicioznim softverom GootLoader.
Drugi pristup koji se koristi za određivanje odgovarajućih ciljeva je sistem usmjeravanja prometa (TDS), koji provjerava da li je preferirani jezik pretraživača portugalski, i ako jeste, vodi korisnika na lažnu odredišnu stranicu.
Korisnici koji ne ispunjavaju tražene kriterije preusmjeravaju se na legitimnu web domenu WhatsApp bez ikakvih daljnjih malicioznih aktivnosti, čime se izbjegava otkrivanje.
Nalazi stižu nekoliko dana nakon što je SecurityScorecard detaljno opisao krađu informacija pod nazivom Lumma koji je sposoban prikupljati podatke iz web pretraživača, novčanika za kriptovalute i raznih aplikacija kao što su AnyDesk, FileZilla, KeePass, Steam i Telegram.