En los últimos años se ha producido un aumento significativo en el número de malware centrado en criptomonedas. La empresa de ciberseguridad Unit 42, de Palo Alto Networks, ha descubierto una nueva campaña de malware diseñada para atacar a hablantes de portugués, cuyo objetivo es redirigir las criptomonedas de las billeteras de los usuarios legítimos hacia billeteras controladas por los actores de amenazas. El malware en cuestión es conocido como “cortador de criptomonedas” o “crypto clipper”, y funciona examinando continuamente el portapapeles de la víctima para ver si ha copiado una dirección de billetera de criptomonedas.
El objetivo de este malware es reemplazar la dirección real de la billetera del usuario con la del actor de la amenaza, lo que provoca que el usuario, sin darse cuenta, envíe criptomonedas al ciberdelincuente. Los actores de amenazas utilizaron Google Ads y sistemas de distribución de tráfico para redirigir a las víctimas a dominios maliciosos que se hacen pasar por la aplicación web legítima de WhatsApp, y así asegurarse de que las víctimas sean usuarios reales y hablen portugués.
Visualmente similar
El malware utiliza expresiones regulares (regexes) para identificar a qué tipo de criptomoneda pertenece la dirección, luego reemplaza la entrada del portapapeles con una dirección de billetera visualmente similar pero controlada por el actor de amenazas para la criptomoneda correspondiente. Dado que las direcciones de billetera suelen ser muy largas y pueden superar los 40 caracteres alfanuméricos, muchas personas no notarán este cambio de dirección, lo que aumenta la efectividad del crypto clipper.
Las víctimas de esta campaña incluyen a personas que trabajan en las industrias de fabricación, servicios de TI y bienes raíces. Los clientes de Palo Alto Networks reciben protección contra esta campaña a través de Cortex XDR. Los servicios de seguridad proporcionados por la nube de Advanced URL Filtering y DNS Security para el firewall de próxima generación identifican los dominios asociados con la campaña CryptoClippy como maliciosos. Se recomienda a todos los usuarios de criptomonedas que tomen medidas de seguridad adicionales para proteger sus activos.