especialistas Avast descoberto Clipsa, o estranho malwares, que não só rouba criptomoeda, substitui endereços carteira no usuários’ tampões e instala mineiros em máquinas infectadas, mas também lança ataques de força bruta contra os sites WordPress em hosts comprometidos.
Tele principal fonte de infecções são pacotes de codecs para players de mídia que os usuários download na Internet si.de acordo com pesquisadores, Clipsa tem sido ativo durante pelo menos um ano, e acima de todos os especialistas foram surpreendidos pela funcionalidade contra sites WordPress. O fato é que o Windows malwares raramente mostra tal comportamento, como muitas vezes esses ataques são realizados por botnets dos servidores infectados ou dispositivos da Internet das coisas.
“Clipsa provavelmente usa sites WordPress infectados como servidores de gerenciamento secundários, que são então usados para baixar e armazenar dados roubados, bem como para fornecer links para download mineiros”, – especialistas escrever.
Contudo, apesar de ataques a sites WordPress, Clipsa ainda está se concentrando em criptomoeda. Assim sendo, após a infecção, o malware verifica o computador da vítima para wallet.dat ficheiros relacionados com carteiras criptomoeda. Se os arquivos são encontrados, o malware rouba-los e transfere-os para um servidor remoto. Clipsa também procura por arquivos TXT que contêm cadeias de BIP-39 formato. Se forem encontrados, o texto é salvo em outro arquivo e transferido para o servidor dos criminosos, mais tarde ele pode ser usado para quebrar os arquivos wallet.dat roubados.
além do que, além do mais, malwares instala o controle sobre a área de transferência do sistema operacional infectado e monitores quando o usuário copia ou corta texto semelhante ao Bitcoin ou endereços Ethereum. Clipsa substitui esses endereços com os endereços dos seus operadores, esperando para interceptar quaisquer pagamentos que o usuário está tentando fazer.
Em alguns casos, o malware também implanta o XMRig mineiro em hosts infectados para minar o criptomoeda Monero.
De acordo com Avast, a partir de agosto 1, 2018, produtos antivírus da empresa bloqueou mais de 253,000 tenta infectar Clipsa. A maioria dos incidentes foram relatados em países como a Índia, Bangladesh, as Filipinas, Brasil, Paquistão, Espanha e Itália.
Leia também: Vulnerabilidade no plugin para WordPress permitido executar PHP código remotamente
especialistas analisaram 9412 endereços bitcoin que os operadores Clipsa usaram no passado. Enquanto girou para fora, os atacantes já tinha “ganhou” quase três bitcoins, que foram listados no 117 desses endereços. A renda dos operadores de malware é, pelo menos, $35,000 um ano, simplesmente devido à falsificação nos buffers de máquinas infectadas. Pior, esta estatística não leva em conta o dinheiro roubado de usuários através de hacking roubado wallet.dat arquivos, bem como fundos recebidos através da mineração Monero.
