Clipsa
O malware Clipsa é uma ameaça que se enquadra na categoria de coletores de senhas. A atividade do malware Clipsa parece estar concentrada em várias regiões - Brasil, Índia e Filipinas. O projeto do malware Clipsa parece estar nos seus estágios iniciais, e é provável que os seus autores possam futuramente armar essa ameaça.
Índice
Métodos de Propagação
Os criadores do malware Clipsa optaram por disfarçar a sua ameaça como um falso reprodutor de mídia ou um pacote fraudulento de codecs. Os usuários são convidados a instalá-lo se quiserem visualizar o conteúdo do site. Os usuários on-line devem ter muito cuidado com as páginas da Web que exigem a instalação de software adicional para visualizar o seu conteúdo, pois esse é um truque comumente usado para propagar vários tipos de malware.
Auto-Preservação
O malware Clipsa armazenará os seus arquivos corrompidos nos diretórios do sistema e, em seguida, ganhará persistência configurando o Registro do Windows para iniciar os seus arquivos sempre que o Windows for inicializado automaticamente. Essa ameaça é capaz de plantar um minerador de moeda digital na máquina comprometida. No entanto, o malware Clipsa usa uma técnica astuta para garantir que o mineiro de moeda digital não seja detectado pelo usuário. Essa ameaça examinará a execução, bem como as janelas abertas a cada dez segundos. O objetivo da verificação é determinar se o usuário abriu o Gerenciador de Tarefas ou inicializou o Process Hacker ou o Process Explorer porque esses aplicativos mostrarão ao usuário o uso da CPU. Quando um mineiro de moeda digital está funcionando, o uso da CPU aumenta muito, e é muito provável que a vítima perceba que algo cheira mal. Se tais processos forem detectados, o malware Clipsa cessará a sua atividade imediatamente.
Capacidades
O malware Clipsa é usado principalmente para coletar credenciais de login das suas vítimas. No entanto, também tem alguns outros recursos. Os sistemas infectados pelo malware Clipsa executarão um script que verifica a Internet periodicamente nos sites do WordPress que são vulneráveis aos ataques de força bruta. Se a verificação retornar credenciais de login válidas para uma determinada página do WordPress, o Clipsa transferirá a URL, o nome de usuário e a senha para o servidor de Comando e Controle do invasor. O malware Clipsa também monitora a área de transferência no host comprometido e, se detectar que o usuário copiou o endereço de uma carteira criptografada, ele será apagado e substituído por uma carteira que pertence aos invasores. Os pesquisadores de malware descobriram que o malware Clipsa às vezes é entregue com um arquivo '.dat', que possui milhares de carteiras do Ethereum e do Bitcoin, todas usadas pelos autores dessa ameaça. Parece que as operações obscuras dos criadores do malware Clipsa foram frutíferas - os atacantes geraram mais de 55 ETH (~ US $12.000).
Apesar dessa ameaça ser relativamente nova, ela já está mostrando sinais de que pode causar dores de cabeça em muitas pessoas ao redor do mundo. Certifique-se de que você tenha um aplicativo anti-malware legítimo, o qual manterá o seu sistema protegido contra ameaças desagradáveis, tais como o malware Clipsa.
