O malware CryptoClippy funciona como um ladrão
CryptoClippy é uma forma de malware que funciona como um cortador de criptomoedas.
Seu principal objetivo é monitorar a área de transferência do usuário e detectar instâncias em que o usuário copia um endereço de carteira de criptomoeda. Uma vez identificado, o malware substitui o endereço copiado pelo do invasor. Um clipper de criptomoeda é um tipo de software malicioso destinado a roubar criptomoedas de vítimas inocentes. O malware funciona monitorando a área de transferência da vítima, que armazena temporariamente dados copiados ou cortados, incluindo um endereço de carteira de criptomoeda.
Quando o clipper detecta que a vítima copiou um endereço de carteira, ele substitui o endereço real pelo do invasor, levando ao redirecionamento dos pagamentos em criptomoeda para a carteira do invasor. A vítima pode não perceber a atividade maliciosa até que seja tarde demais e os fundos já tenham sido retirados.
Além de funcionar como um cortador de criptomoedas, o CryptoClippy também possui outros recursos que ajudam os invasores a roubar criptomoedas. Entre esses recursos está a capacidade de criar um backdoor por meio do Remote Desktop Protocol (RDP), implementando um script do PowerShell criptografado por RC4.
O CryptoClippy possui funcionalidades específicas relacionadas ao direcionamento de carteiras de criptomoedas Ethereum e Bitcoin. Há evidências de que os hackers responsáveis pelo CryptoClippy se concentram principalmente em usuários que falam português.
Como as variantes do malware Cryptostealer geralmente funcionam?
As variantes do malware Cryptostealer são projetadas para roubar criptomoedas das carteiras das vítimas, comprometendo sua segurança. Eles trabalham monitorando o dispositivo da vítima quanto à presença de endereços de carteira de criptomoeda, que geralmente são copiados e colados na área de transferência para facilitar o uso.
Assim que um endereço de carteira é detectado, o malware o substitui por um endereço controlado pelo invasor, redirecionando quaisquer pagamentos em criptomoeda para a carteira do invasor em vez do destinatário pretendido. Criptostealers também podem ser programados para monitorar as teclas digitadas e fazer capturas de tela para roubar credenciais de login ou outras informações confidenciais.
Algumas variantes do cryptostealer também incluem recursos de backdoor, como a capacidade de estabelecer uma conexão de protocolo de área de trabalho remota (RDP) ou executar comandos remotos. Isso permite que os invasores mantenham o acesso ao dispositivo da vítima e continuem a roubar criptomoedas ou outros dados confidenciais por um período prolongado.
Os criptostealers podem ser distribuídos por vários métodos, incluindo e-mails de phishing, downloads maliciosos ou táticas de engenharia social. Uma vez instalados no dispositivo da vítima, eles geralmente permanecem ocultos para evitar a detecção por software de segurança, dificultando sua detecção e remoção.