Avast Spezialisten entdeckt Clipsa, die seltsame Malware, die nicht nur stiehlt Kryptowährung, ersetzt wallet-Adressen in den Benutzern’ Puffer und installiert Knappen auf infizierten Rechnern, sondern auch startet Brute-Force-Angriffe auf Wordpress-Seiten auf kompromittierten Rechner.
Ter Hauptquelle für Infektionen sind Codec-Packs für Media-Player, die Benutzer über das Internet herunterladen selbst.nach Ansicht der Forscher, Clipsa seit mindestens einem Jahr aktiv, und die meisten von allen Experten wurden von der Funktionalität gegen Wordpress-Seiten überrascht. Tatsache ist, dass Windows-Malware zeigt selten ein solches Verhalten, wie oft solche Angriffe werden von Botnets von infizierten Servern oder IoT-Geräten durchgeführt.
„Clipsa meisten nutzt wahrscheinlich infizierte Wordpress-Seiten als Sekundär-Management-Server, die dann zum Herunterladen und Speichern von gestohlenen Daten verwendet, sowie Links bieten Bergbau“zum Download, – Fachwelt schreiben.
jedoch, trotz Angriffe auf Wordpress-Seiten, Clipsa konzentriert sich nach wie vor auf Kryptowährung. Deshalb, nach der Infektion, die Malware scannt den Computer des Opfers für wallet.dat Dateien Kryptowährung Portemonnaies bezogen. Wenn die Dateien gefunden, die Malware stiehlt sie und überträgt sie an einen Remote-Server. Clipsa sieht auch für TXT-Dateien mit Strings in BIP-39 Format. Falls eine gefunden, wird der Text in einer anderen Datei und übertragen auf die Kriminellen Server gespeichert, so später kann es verwendet werden, um die gestohlenen wallet.dat Dateien zu knacken.
In Ergänzung, Malware installiert Kontrolle über die Zwischenablage des infizierten OS und überwacht, wenn die Kopien Benutzer oder Text schneidet ähnlich wie Bitcoin oder Astraleum Adressen. Clipsa ersetzt solche Adressen mit den Adressen der Betreiber, Hoffnung, Zahlungen abzufangen, dass der Benutzer zu machen versucht,.
In manchen Fällen, die Malware setzt auch die XMRig Bergmann auf infizierten Hosts die Monero Kryptowährung verminen.
Nach Avast, von August 1, 2018, die Anti-Virus-Produkte des Unternehmens blockiert mehr als 253,000 versucht Clipsa zu infizieren. Die meisten Vorfälle wurden in Ländern wie Indien berichtet, Bangladesch, die Phillipinen, Brasilien, Pakistan, Spanien und Italien.
lesen Sie auch: Sicherheitsanfälligkeit im Plugin für Wordpress erlaubt PHP-Code remote auszuführen
Experten analysiert 9412 Bitcoin-Adressen, die Clipsa Betreiber in der Vergangenheit verwendet haben. Wie sich herausstellte, die Angreifer hatte bereits „verdient“ fast drei bitcoins, die aufgeführt wurden auf 117 dieser Adressen. Das Einkommen der Malware-Betreiber ist zumindest $35,000 ein Jahr, einfach durch die in den Puffern der infizierten Maschinen Spoofing. Schlechter, Diese Statistik nimmt Geld in Konto gestohlen nicht von den Benutzern über wallet.dat Dateien gestohlen Hacking, sowie Mittel durch Monero Bergbau erhalten.
