Avast identifica Novo Malware que rouba Criptomoedas e Credenciais em sites do Word Press

Avast identifica novo Malware que rouba Criptomoedas e credenciais em sites do Word Press

Um novo malware para ladrões de senhas apareceu e tem como alvo criptomoedas, forças brutas e rouba credenciais de administradores de sites não protegidos do WordPress.

Os pesquisadores da Avast apelidaram o malware Clipsa, devido à sua propensão para substituir os endereços de criptomoedas presentes em uma área de transferência, e observaram que ele foi escrito em Visual Basic e, quando instalado em um dispositivo, inicia a mineração de criptomoeda e, em alguns casos, implanta o XMRig retorno do investimento por incidente.

Clipsa tem dois vetores de ataque. Ele é colocado em instaladores de pacotes de codecs maliciosos para players de mídia e, quando uma vítima faz o download do player, essa pessoa também acaba com o Clipsa em seu dispositivo. Quando isso acontece, o malware começa a agir como um agente de pesquisa usando as máquinas infectadas para procurar sites vulneráveis ​​adicionais do Word Press. Quando um alvo é detectado, ele tenta entrar brutalmente no sistema e, se tiver êxito, envia as credenciais de login validadas para os servidores de comando e controle da Clipsa.

Avast identifica novo Malware que rouba Criptomoedas e credenciais em sites do Word Press
Avast identifica novo Malware que rouba Criptomoedas e credenciais em sites do Word Press.

“Embora não possamos dizer com certeza, acreditamos que os hackers por trás da Clipsa roubam dados adicionais dos sites violados. Também suspeitamos que eles usem os sites infectados como servidores secundários de C & C para hospedar links de download para mineradores ou para carregar e armazenar dados roubados ”, disseram os pesquisadores.

Até agora, os ataques da maioria parecem ter ocorrido na Índia, com o Avast detectando mais de 43.000 incidentes de infecção por Clipsa. Um menor número de ataques ocorreu nas Filipinas e no Brasil, mas a Clipsa mundial esteve envolvida em mais de 360.000 ataques.

Traduzido e adaptado de: scmagazine.com

Deixe um comentário