Пользователи из Португалии стали жертвами нового вредоносного ПО под кодовым названием CryptoClippy, которое похищает криптовалюту в рамках кампании вредоносной рекламы. Об этом заявили специалисты Palo Alto Networks Unit 42 в своёмновом отчёте.
Операторы CryptoClippy используют методы отравления SEO (SEO poisoning), чтобы перенаправить пользователей, которые ищут “WhatsApp Web”, на мошеннические домены, содержащие вредоносное ПО.
Мошеннический домен
CryptoClippy, исполняемый файл на основе C, представляет собой клиппер, который заменяет адрес криптокошелька, скопированного в буфер обмена, на адрес кошелька злоумышленника.
Клиппер использует регулярные выражения для определения того, к какому типу криптовалюты относится адрес кошелька. Затем CryptoClippy заменяет запись в буфере обмена адресом кошелька злоумышленника для соответствующей криптовалюты. При этом адрес кошелька преступника визуально похож на исходный.
Когда жертва вставляет адрес из буфера обмена для проведения транзакции, криптовалюта отправляется злоумышленнику напрямую.
Цепочка атаки клиппера
По оценкам, схема атаки принесла операторам CryptoClippy около $983, жертвы были обнаружены в сфере производства, IT-услуг и недвижимости.
Чтобы определить, подходит ли цель для атаки или нет, киберпреступники используют систему распределения трафика (TDS), которая проверяет, является ли предпочтительный язык браузера португальским, и, если это так, направляет пользователя на мошенническую целевую страницу.
Пользователи, которые не соответствуют необходимым критериям, перенаправляются на легитимный домен WhatsApp без каких-либо дальнейших злонамеренных действий, что позволяет хакерам избежать обнаружения.
Стоит отметить, что использование зараженных результатов поиска для доставки вредоносных программ было принято операторами вредоносного ПО GootLoader. Для осуществления атаки “заражение SEO” злоумышленники сначала взломали большое количество легитимных сайтов и создали сеть примерно из 400 серверов. При этом владельцы сайтов и понятия не имели о том, что их ресурсы используются таким образом. После взлома хакеры настраивают CMS таким образом, чтобы использовались нужные им тактики SEO, чтобы поднять скомпрометированный ресурс наверх в поисковой выдаче, когда пользователь вводит определенный вопрос.