Avast specialister opdagede Clipsa, den mærkelige malware, som ikke kun stjæler cryptocurrency, erstatter tegnebog adresser i brugerne’ buffere og installerer minearbejdere på inficerede maskiner, men også lancerer brute-force angreb mod WordPress sites på kompromitterede værter.
THan vigtigste kilde til infektioner er codec packs til medieafspillere, som brugerne hente på internettet selv.ifølge forskerne, Clipsa har været aktiv i mindst et år, og de fleste af alle de eksperter, var overraskede over funktionaliteten mod WordPress sites. Faktum er, at Windows malware sjældent viser en sådan adfærd, som ofte sådanne angreb udføres af botnets fra inficerede servere eller IoT enheder.
”Clipsa sandsynligvis bruger inficerede WordPress sites som sekundære administrationsservere, som derefter bruges til at downloade og gemme stjålne data, samt at give links til at downloade minearbejdere”, – eksperter skrive.
imidlertid, trods angreb på WordPress sites, Clipsa stadig koncentrere sig om cryptocurrency. Derfor, efter infektion, malware scanner ofrets computer til wallet.dat filer relateret til cryptocurrency tegnebøger. Hvis der findes filer, malware stjæler dem og overfører dem til en ekstern server. Clipsa ser også til TXT-filer, der indeholder strenge i BIP-39 format. Hvis nogen er fundet, teksten er gemt i en anden fil og overføres til de kriminelle server, så senere kan bruges til at knække de stjålne wallet.dat filer.
Desuden, malware installerer kontrol over udklipsholderen af den inficerede OS og skærme, når brugeren kopier eller skærer ud tekst ligner Bitcoin eller Ethereum adresser. Clipsa erstatter sådanne adresser med adresserne på dets operatører, i håb om at opfange eventuelle betalinger, som brugeren forsøger at gøre.
I nogle tilfælde, malware udsender også XMRig minearbejder på inficerede værter til at udvinde den Monero cryptocurrency.
Ifølge Avast, i august 1, 2018, virksomhedens antivirus produkter blokeret mere end 253,000 forsøg på at inficere Clipsa. De fleste hændelser er blevet rapporteret i lande som Indien, Bangladesh, Filippinerne, Brasilien, Pakistan, Spanien og Italien.
Læs også: Sårbarhed i plugin til WordPress lov til at eksekvere PHP-kode via fjernadgang
Eksperter analyseret 9412 Bitcoin adresser, Clipsa operatører har brugt tidligere. Som det viste sig, angriberne havde allerede ”tjent” næsten tre Bitcoins, er optaget på 117 af disse adresser. Indtægten af malware operatører er i det mindste $35,000 et år, simpelthen på grund af spoofing i bufferne af inficerede maskiner. Værre, denne statistik ikke tager hensyn til penge stjålet fra brugerne gennem hacking stjålet wallet.dat filer, samt midler modtaget gennem Monero minedrift.
