- Microsoft advierte sobre “Crypto Clipper”, un gusano que se propaga a través de archivos .LNK maliciosos en unidades USB
- El malware persiste, se conecta a Tor C2, ejecuta código remoto y roba datos criptográficos del portapapeles
- Intercambia direcciones de billetera, extrae frases iniciales/claves privadas y carga capturas de pantalla para evaluar el valor objetivo.
Microsoft advierte sobre una campaña en curso dirigida a los propietarios de criptomonedas con un gusano que secuestra el portapapeles.
En un nuevo informe en profundidad publicado a fines de la semana pasada, los investigadores de seguridad de Microsoft explicaron que recientemente analizaron una memoria USB que contenía documentos aparentemente comunes (archivos de Word, hojas de cálculo de Excel). Sin embargo, los documentos fueron reemplazados por archivos de acceso directo de Windows (.LNK) que en realidad lanzaron un malware llamado Crypto Clipper.
Este malware hace algunas cosas. Primero, se propaga creando archivos .LNK maliciosos en unidades USB y otros medios extraíbles. Configura tareas programadas para mantener la persistencia e infectar automáticamente los dispositivos USB recién conectados. En segundo lugar, se comporta como una puerta trasera al comunicarse periódicamente con un servidor C2 en la red Tor y recibir comandos del atacante. Los servidores también pueden enviar comandos para descargar malware y ejecutar código proporcionado por el atacante en sistemas infectados.
Robo de datos de billetera
Finalmente, Crypto Clipper funciona como un cortapapeles al monitorear el portapapeles de Windows en busca de direcciones de billeteras de criptomonedas, frases iniciales y claves privadas. Si encuentra una dirección de billetera, puede reemplazarla por otra propiedad de los atacantes, de modo que cualquier token enviado por la víctima vaya al atacante. También puede robar y extraer frases iniciales copiadas y claves privadas, que pueden usarse para cargar la billetera criptográfica de la víctima en un dispositivo separado.
Para ayudar a los atacantes a determinar el valor de un objetivo, el malware captura periódicamente capturas de pantalla de la víctima y las carga a través de la red Tor.
“Esta familia de malware muestra cómo los secuestradores ligeros basados en scripts pueden tener efectos descomunales cuando se combinan con comunicación anónima y tareas en tiempo de ejecución”, dijo Microsoft. “La combinación de C2 enrutado por Tor, orientación al portapapeles, captura de pantalla y ejecución remota de código brinda a los atacantes una ruta de monetización inmediata y un control continuo sobre los dispositivos comprometidos”.
Microsoft no dijo si el malware estaba dirigido a países o regiones específicos, ni mencionó el número de víctimas.
a través de Ars Técnica
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
