Clipsa malware de Windows roba criptomoneda y aplica fuerzas brutas para los sitios de WordPress

Avast especialistas descubrieron Clipsa, la extraña software malicioso, que no sólo roba criptomoneda, sustituye las direcciones de los usuarios en la cartera’ tampones y mineros instala en las máquinas infectadas, sino también lanza ataques de fuerza bruta contra los sitios de WordPress en equipos comprometidos.

Tque la principal fuente de las infecciones son paquetes de codecs para reproductores de medios que los usuarios descargan en los propios internet.

según los investigadores, Clipsa ha estado activo durante al menos un año, y la mayoría de todos los expertos se sorprendieron por la funcionalidad contra los sitios de WordPress. El hecho es que el malware de Windows rara vez muestra tal comportamiento, tan a menudo este tipo de ataques se llevan a cabo por redes de bots de los servidores infectados o dispositivos IO.

“Clipsa más probable es que utiliza sitios de WordPress infectados como servidores de administración secundarios, que luego se utilizan para descargar y almacenar los datos robados, así como para proporcionar enlaces para descargar los mineros”, – expertos escribir.

sin embargo, a pesar de los ataques a sitios de WordPress, Clipsa todavía se está concentrando en criptomoneda. Por lo tanto, después de la infección, el malware escanea el ordenador de la víctima por wallet.dat archivos relacionados con carteras criptomoneda. Si no se encuentran los archivos, el malware que roba y los transfiere a un servidor remoto. Clipsa también busca archivos TXT que contienen cadenas en BIP-39 formato. Si se encuentra alguna, el texto se guarda en otro archivo y se transfiere al servidor de los delincuentes, por lo que más tarde se puede utilizar para descifrar los archivos robados wallet.dat.

Adicionalmente, malware se instala el control sobre el portapapeles del sistema operativo y monitores infectan cuando el usuario copia o recorta texto similar a Bitcoin o direcciones Etereum. Clipsa sustituye a dichas direcciones con las direcciones de sus operadores, con la esperanza de interceptar cualquier pago que el usuario está tratando de hacer.

En algunos casos, el malware también despliega el La minera XMRig en huéspedes infectados para extraer el criptomoneda Monero.

De acuerdo con Avast, a partir de agosto 1, 2018, productos antivirus de la compañía bloquearon más de 253,000 los intentos de infectar Clipsa. La mayoría de los incidentes han sido reportados en países como la India, Bangladesh, las Filipinas, Brasil, Pakistán, España e Italia.

leer también: Una vulnerabilidad en el plugin para WordPress permite ejecutar código PHP de forma remota

Los expertos analizaron 9412 direcciones bitcoin que los operadores Clipsa han utilizado en el pasado. Como se vio despues, los atacantes ya habían “ganado” casi tres bitcoins, que se enumeran en 117 de estas direcciones. Los ingresos de los operadores de malware es al menos $35,000 un año, simplemente debido a la suplantación de identidad en los buffers de máquinas infectadas. Peor, Esta estadística no toma en cuenta el dinero robado a los usuarios mediante piratería robado wallet.dat archivos, así como los fondos recibidos a través de la minería Monero.

Polina Lisovskaya

Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.

Deja una respuesta

Botón volver arriba