Malware para robar criptomonedas recupera información del portapapeles
Una campaña poco convencional de spam ha estado enviando malware para robar criptomonedas a usuarios americanos y japoneses.
Los emails con asunto de "Re:passport.." están intentando engañar a sus víctimas para que abran el archivo adjunto, que supuestamente contiene una copia escaneada de un pasaporte que el destinatario posiblemente dejó en la oficina del remitente.
Al abrir el archivo no se muestra la imagen escaneada, pero se pide a las potenciales víctimas que abran otro archivo incrustado en el primero.
Si eligen abrirlo, el archivo intentará aprovechar una vieja vulnerabilidad de DirectX (DirectX de Microsoft es una colección de API para manejar tareas relacionadas a multimedia en las plataformas de Microsoft).
Si tiene éxito, cargaá un script HTA, el cual ejecutará un script de PowerShell para descargar el malware ComboJack.
El malware que roba criptomonedas
ComboJack ha sido llamado así por los investigadores porque intenta robar fondos en una variedad de criptomonedas.
Después de ser descargado, el malware primero asegura su persistencia y se oculta del usuario. Entonces entra en un ciclo infinito en el que revisa los contenidos del portapapeles cada medio segundo.
"Los contenidos del portapapeles son revisados bajo varios criterios para determinar si la víctima ha copiado información de monedero para varias monedas digitales. En caso de que un monedero de interés sea descubierto, ComboJack la reemplaza con un monedero contenido en el código que presuntamente posee el atacante, en un intento de que la víctima envíe accidentalmente dinero a un lugar incorrecto", explican investigadores de Palo Alto Networks.
"Esta táctica se vale del hecho de que las direcciones de los monederos son típicamente largas y complejas, y para evitar errores, muchos usuarios optarán por copiar la cadena exacta para prevenir errores potenciales."
El malware va tras las monedas Ethereum, Monero, Bitcoin y Litecoin, pero también tras fondos transferidos vía Qiwi, WebMoney y Yandex Money.
"Al tener como objetivo múltiples criptomonedas y monederos basados en web, el autor de ComboJack parece estar limitando sus apuestas sobre qué monedas prosperarán y cuáles fracasaran," concluyeron los investigadores.