Il malware CryptoClippy funziona come un ladro
CryptoClippy è una forma di malware che funziona come un clipper di criptovaluta.
Il suo obiettivo principale è monitorare gli appunti dell'utente e rilevare i casi in cui l'utente copia l'indirizzo di un portafoglio di criptovaluta. Una volta identificato, il malware sostituisce l'indirizzo copiato con quello dell'aggressore. Un clipper di criptovaluta è un tipo di software dannoso destinato a rubare criptovaluta da vittime ignare. Il malware funziona monitorando gli appunti della vittima, che memorizza temporaneamente i dati copiati o tagliati, incluso un indirizzo di portafoglio di criptovaluta.
Quando il clipper rileva che la vittima ha copiato l'indirizzo di un portafoglio, sostituisce l'indirizzo reale con quello dell'aggressore, portando al reindirizzamento dei pagamenti in criptovaluta al portafoglio dell'aggressore. La vittima potrebbe non rendersi conto dell'attività dannosa finché non è troppo tardi e i fondi sono già stati prelevati.
Oltre a funzionare come clipper di criptovaluta, CryptoClippy ha anche altre funzionalità che aiutano gli aggressori a rubare criptovaluta. Tra queste funzionalità c'è la sua capacità di creare una backdoor tramite Remote Desktop Protocol (RDP) implementando uno script PowerShell crittografato RC4.
CryptoClippy ha funzionalità specifiche relative al targeting di portafogli di criptovaluta Ethereum e Bitcoin. Ci sono prove che gli hacker responsabili di CryptoClippy si concentrino principalmente sugli utenti di lingua portoghese.
Come funzionano solitamente le varianti del malware Cryptostealer?
Le varianti del malware Cryptostealer sono progettate per rubare la criptovaluta dai portafogli delle vittime compromettendone la sicurezza. Funzionano monitorando il dispositivo della vittima per la presenza di indirizzi di portafogli di criptovaluta, che spesso vengono copiati e incollati negli appunti per facilità d'uso.
Una volta rilevato l'indirizzo di un portafoglio, il malware lo sostituisce con un indirizzo controllato dall'aggressore, reindirizzando eventuali pagamenti in criptovaluta al portafoglio dell'aggressore anziché a quello del destinatario previsto. I ladri di criptovalute possono anche essere programmati per monitorare le sequenze di tasti e acquisire schermate per rubare credenziali di accesso o altre informazioni sensibili.
Alcune varianti di cryptostealer includono anche funzionalità backdoor, come la capacità di stabilire una connessione RDP (Remote Desktop Protocol) o eseguire comandi remoti. Ciò consente agli aggressori di mantenere l'accesso al dispositivo della vittima e continuare a rubare criptovaluta o altri dati sensibili per un periodo prolungato.
I cryptostealer possono essere distribuiti tramite una varietà di metodi, tra cui e-mail di phishing, download dannosi o tattiche di ingegneria sociale. Una volta installati sul dispositivo di una vittima, spesso rimangono nascosti per evitare il rilevamento da parte del software di sicurezza, rendendoli difficili da rilevare e rimuovere.