Gli utenti portoghesi sono stati presi di mira da un nuovo malware chiamato CryptoClippy, in grado di rubare criptovalute come parte di una campagna di malvertising.
L’attività sfrutta le tecniche di SEO poisoning per attirare gli utenti che cercano “WhatsApp web” verso domini fraudolenti che ospitano il malware, come riferito oggi in un nuovo rapporto dal Palo Alto Networks Unit 42.
Cos’è CryptoClippy, com’è stato creato e come funziona
CryptoClippy, un file eseguibile in C, è un tipo di criptoware noto come clipper malware che monitora gli appunti delle vittime alla ricerca di contenuti corrispondenti ad indirizzi di criptovalute e li sostituisce con un indirizzo del portafoglio controllato dal cyber criminale.
“Il clipper malware utilizza le espressioni regolari (regexes) per identificare a quale tipo di criptovaluta appartiene l’indirizzo“, hanno dichiarato i ricercatori dell’Unità 42.
“In seguito, sostituisce l’entry degli appunti con un indirizzo dello wallet [portafoglio virtuale in criptovalute] controllato dal criminale, visivamente simile ma sotto il suo controllo, per la criptovaluta appropriata. Successivamente, quando la vittima incolla l’indirizzo dagli appunti per effettuare una transazione, in realtà sta inviando direttamente la criptovaluta al cyber criminale“.
Il sistema illecito usato, sembrerebbe aver fruttato fino ad ora circa 983 dollari ai suoi operatori, con vittime individuate nei settori manifatturiero, dei servizi IT e immobiliare.
È importante notare che l’uso di risultati di ricerca contaminati per fornire malware è stato adottato dai cyber criminali associati al malware GootLoader.
Un altro approccio utilizzato per individuare obiettivi adatti è un sistema di direzione del traffico (TDS), che verifica se la lingua preferita del browser è il portoghese, e in caso affermativo, porta l’utente a una pagina di destinazione fraudolenta.
Gli utenti che non soddisfano i criteri richiesti vengono reindirizzati al dominio legittimo di WhatsApp Web senza alcuna ulteriore attività dannosa, evitando così la rilevazione.
Queste scoperte arrivano pochi giorni dopo che SecurityScorecard ha dettagliato un file “ladro” di informazioni chiamato Lumma, in grado di raccogliere dati dai browser web, portafogli di criptovalute e una varietà di app come AnyDesk, FileZilla, KeePass, Steam e Telegram.
Come difendersi eventualmente da CryptoClippy e non solo?
Sebbene sia molto difficile che tu, lettore, parli portoghese (o che tu abbia Windows o il browser impostati in tale lingua), ecco comunque dei consigli per poter sopravvivere in caso di attacchi analoghi.
Questi recenti attacchi dimostrano ancora una volta l’importanza di rimanere vigili e attenti quando si naviga in rete e si utilizzano applicazioni online.
È fondamentale adottare misure di sicurezza adeguate, come l’uso di software antivirus affidabili e l’evitare di cliccare su link sospetti o di scaricare file da fonti non verificate. Solo così si può proteggere se stessi e i propri dati sensibili da attacchi informatici sempre più sofisticati e diffusi.
