Malware Clipminer zmienia komputer w koparkę kryptowalut i kradnie płatności

by Marek 4 czerwca, 2022

Eksperci z Symanteca ostrzegają przed nowym malware o nazwie Clipminer. Zmienia zainfekowaną maszynę w koparkę kryptowalut, a także kradnie fundusze z cyfrowych portfeli.

Właściciele kryptowalut są nieustannie celem działań hakerów, którzy wszelkimi dostępnymi sposobami próbują ich okraść. Najnowszym zagrożeniem jest malware Clipminer, przed którym ostrzegają eksperci z Symanteca.

Nie tylko podstępem zmieni nasz komputer w koparkę kryptowalut, ale też spróbuje przejąć transakcje oraz okraść cyfrowy portfel. Specjaliści przeanalizowali działanie nowego trojana i znaleźli już 4375 portfeli kryptowalut, na które hakerzy przesyłają skradzione środki. Dotąd udało im się skraść kryptowaluty o wartości 1,7 mln dolarów.

Clipminer trafia do systemu hosta jako archiwum WinRAR. Automatycznie je rozpakowuje, aby uruchomić plik panelu sterowania (.CPL), który pobiera bibliotekę DLL. Ta tworzy następnie nową wartość rejestru, która pozwala pobrać właściwego trojana z sieci Tor.

Po uruchomieniu złośliwe oprogramowanie tworzy zaplanowane zadania, a także pusty klucz rejestru. Prawdopodobnie jest to znacznik infekcji, aby zapobiec ponownemu zainfekowaniu tego samego hosta.

Wirus uruchamia następnie usługę v3 Onion Service z unikalnym adresem i monitoruje całą aktywność klawiatury i myszy na komputerze. Sprawdza również uruchomione procesy, aby zidentyfikować wszelkie narzędzia analityczne. Gdy nie wykryje na komputerze żadnej aktywności, uruchamia koparkę kryptowalut XMRig Monero, skonfigurowaną w taki sposób, aby wykorzystać wszystkie dostępne wątki procesora. A ponieważ maszyna pozostaje bez nadzoru, nie ma ryzyka, że spowolnienie działania systemu ujawni robaka.

Równolegle robak monitoruje schowek pod kątem kopiowanych adresów kryptowalut. Na bieżącą zastępuje je innymi adresami należącymi do atakującego, by w ten sposób przekierować płatności.

Symantec twierdzi, że pierwsze próbki Clipminer zaczęły krążyć w styczniu zeszłego roku. Miesiąc później jego aktywność przyspieszyła. Od tego czasu robak jest rozpowszechniany za pośrednictwem pirackich gier, cracków, a także sieci P2P oraz na filmach na YouTube.