노 젓는 전문가들은 Clipsa 발견, 이상한 악성 코드, 이는뿐만 아니라 암호 화폐를 훔치는, 사용자의 지갑 주소를 대체’ 버퍼와 감염된 컴퓨터에 광부를 설치, 또한 감염된 호스트의 워드 프레스 사이트에 대한 무차별 공격을 시작합니다.
티감염의 그는 주요 소스 사용자가 인터넷을 스스로 다운로드 미디어 플레이어 코덱 팩은.연구자에 따라, Clipsa는 1 년 이상 활동하고있다, 모든 전문가의 대부분은 워드 프레스 사이트에 대한 기능 놀랐다. 사실은 윈도우 악성 코드가 거의 같은 동작을 보여줍니다 없다는 것입니다, 자주 이러한 공격은 감염된 서버 또는 만약 IoT 장치에서 봇넷에 의해 수행된다.
"Clipsa은 대부분 보조 관리 서버로 감염된 워드 프레스 사이트를 사용, 다음 다운로드하는 데 사용 및 저장 도난당한 데이터되는, 뿐만 아니라 "광부를 다운로드 할 수있는 링크를 제공합니다, – 전문가 쓰다.
하나, 워드 프레스 사이트에 대한 공격에도 불구하고, Clipsa은 여전히 암호 화폐에 집중. 따라서, 감염 후, 악성 코드가에 대한 피해자의 컴퓨터를 검색 wallet.dat 암호 화폐 지갑에 관련 파일. 파일이 발견되면, 악성 코드는 그것들을 훔치고 원격 서버로 전송. Clipsa 또한 문자열이 포함 된 TXT 파일을 찾습니다 BIP-39 체재. 어떤이 발견 된 경우, 텍스트는 다른 파일에 저장하고 범죄자 '서버로 전송한다, 그래서 나중에는 도난 wallet.dat 파일을 해독하는 데 사용할 수 있습니다.
게다가, 사용자 복사 또는 비트 코인 또는 에테 리움 주소와 유사한 텍스트를 절단 할 때 악성 코드는 감염된 OS 및 모니터의 클립 보드 제어 설치. Clipsa는 운영자의 주소와 같은 주소를 대체, 사용자가 만들려고 노력하는 것이 어떤 지불을 차단 기대.
일부 경우에, 악성 코드도 배포하는 XMRig 광부 감염된 호스트에 Monero의 암호 화폐를 광산.
노 젓는 걸에 따르면,, 8월에서 1, 2018, 이 회사의 안티 바이러스 제품은 이상 차단 253,000 Clipsa 감염을 시도. 대부분의 사건은 인도와 같은 나라에서보고되었다, 방글라데시, 필리핀, 브라질, 파키스탄, 스페인과 이탈리아.
또한 읽기: 워드 프레스를위한 플러그인의 취약점으로 인한 원격 PHP 코드를 실행할 수
전문가들은 분석 9412 Clipsa 사업자가 과거에 사용했던 비트 코인 주소. 그것은 알고 보니, 공격자는 이미 거의 3 bitcoins "을 벌었 다"했다, 있는 나열된 117 이 주소의. 악성 코드 사업자의 소득은 적어도입니다 $35,000 년, 단순히 인해 감염된 컴퓨터의 버퍼에 스푸핑에. 보다 나쁜, 이 통계는 파일 wallet.dat 도난 해킹을 통해 계정으로 사용자로부터 훔친 돈을지지 않습니다, 뿐만 아니라 자금이 Monero 마이닝을 통해 수신으로.
