Новости WhatsApp Web стал инструментом для кражи криптовалюты португальцев

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Новое вредоносное ПО CryptoClippy использует домены WhatsApp Web для захвата буфера обмена пользователей.


ee88durfe131pjcpscv2iy90qu84qiuh.jpg


Пользователи из Португалии стали жертвами нового вредоносного ПО под кодовым названием CryptoClippy, которое похищает криптовалюту в рамках кампании вредоносной рекламы. Об этом заявили специалисты Palo Alto Networks Unit 42 в Для просмотра ссылки Войди или Зарегистрируйся новом отчёте.

Операторы CryptoClippy используют методы отравления SEO ( SEO poisoning ), чтобы перенаправить пользователей, которые ищут «WhatsApp Web», на мошеннические домены, содержащие вредоносное ПО.


1vroi79qrdeuzgnw36f7vr9es5ecr7xf.png


Мошеннический домен

CryptoClippy, исполняемый файл на основе C, представляет собой клиппер, который заменяет адрес криптокошелька, скопированного в буфер обмена, на адрес кошелька злоумышленника.

Клиппер использует регулярные выражения для определения того, к какому типу криптовалюты относится адрес кошелька. Затем CryptoClippy заменяет запись в буфере обмена адресом кошелька злоумышленника для соответствующей криптовалюты. При этом адрес кошелька преступника визуально похож на исходный.

Когда жертва вставляет адрес из буфера обмена для проведения транзакции, криптовалюта отправляется злоумышленнику напрямую.


p0kud05ybwibgs9dyv7awxuhkim5quz9.png


Цепочка атаки клиппера

По оценкам, схема атаки принесла операторам CryptoClippy около $983, жертвы были обнаружены в сфере производства, IT-услуг и недвижимости.

Чтобы определить, подходит ли цель для атаки или нет, киберпреступники используют систему распределения трафика (TDS), которая проверяет, является ли предпочтительный язык браузера португальским, и, если это так, направляет пользователя на мошенническую целевую страницу.

Пользователи, которые не соответствуют необходимым критериям, перенаправляются на легитимный домен WhatsApp без каких-либо дальнейших злонамеренных действий, что позволяет хакерам избежать обнаружения.

Стоит отметить, что использование Для просмотра ссылки Войди или Зарегистрируйся для доставки вредоносных программ было принято операторами вредоносного ПО GootLoader. <span style="color: #212529; background: white;">Для осуществления атаки «заражение SEO» злоумышленники сначала взломали большое количество легитимных сайтов и создали сеть примерно из 400 серверов. При этом владельцы сайтов и понятия не имели о том, что их ресурсы используются таким образом.</span> После взлома хакеры настраивают CMS таким образом, чтобы использовались нужные им тактики SEO, чтобы поднять скомпрометированный ресурс наверх в поисковой выдаче, когда пользователь вводит определенный вопрос.
 
Источник новости
www.securitylab.ru

Похожие темы