Clipboard Malware supervisa el portapapeles de Windows

La nueva variante de Malware del portapapeles descubrió que se abusa del hábito Copiar-Pegar de los usuarios y se comprueba que la billetera Cryptocurrency haya reemplazado su propia dirección de billetera en el Portapapeles

Cryptocurrency Address es muy único y es difícil de recordar ya que es una dirección de larga duración con la combinación de letras y números.

Siempre que los usuarios copien algo de su computadora con Ctrl + C, los datos copiados se almacenarán en el portapapeles donde el atacante obtendrá la información utilizando este nuevo malware.

El portapapeles es un área de memoria compartida en la que puede copiar datos y copiar datos. Todas las aplicaciones tienen acceso a este portapapeles, los datos se pueden transferir fácilmente entre aplicaciones y Windows proporciona API para administrar el portapapeles.

Un usuario siempre tiene la costumbre de copiar, como las direcciones de criptomonedas que tienen una mayor longitud, por lo que los autores de Malware están explotando este hábito de copiar y pasar del hábito y generar enormes ingresos.

Además, esto conducirá a una gran pérdida si hay datos confidenciales como datos bancarios, contraseñas y otra información financiera.

¿Cómo funciona este software malicioso Clipboard Malware

Una variante de malware descubierta como "Trojan.CBHAgent". que es capaz de monitorear el portapapeles de Windows y verificar si el usuario copió las direcciones de criptomonedas.

Una vez que el malware lo detectó como una dirección de criptomoneda, será reemplazado por una de las direcciones de bitcoin de la lista mantenida en el archivo y será un poco más difícil identificarlo hasta que el usuario lo verifique profundamente.

Trojan.CBHAgent abusan de la API de Windows para manipular los datos del portapapeles. Inicialmente, suelta la DLL en el sistema de víctimas que se ejecutará con rundll32.exe.

C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Administrador\Escritorio\Muestra\CBHAgent.dll", includes_func_runnded

Aquí podemos ver el "includes_func_runnded" que es una función exportada que realiza la supervisión del portapapeles.

Además, este software malicioso para portapapeles utiliza la función 'detection_VMx' para evitar que su análisis se ejecute en una máquina virtual o para no evadir la detección mediante una comprobación anti VM.

Hacer el análisis más difícil, los autores de Malware empacaron el archivo troyano usando un empacador PECompact.

Los investigadores identificaron el archivo de texto sin formato que contiene Más de 2.3 millones de direcciones de bitcoin se enumeran en el archivo que se utiliza para buscar en la dirección del monedero bitcoin.

De acuerdo con el análisis de QuickHeal, "En la ejecución, comienza a monitorear continuamente los datos del portapapeles y comprueba si hay alguna dirección de bitcoin similar. Para la validación, usa una expresión regular. Una vez emparejado, será reemplazado con una dirección presente en la lista. El troyano no afecta a ningún otro dato que no sea la dirección de bitcoin ".

Este proceso se ejecuta completamente en segundo plano, por lo que es muy difícil encontrarlo. Los usuarios deben verificar la dirección de la billetera al mismo tiempo que copian y asegurarse de que se utiliza la dirección original de la billetera.

Semrush sigue a tu competencia


Fecha actualización el 2018-07-24. Fecha publicación el 2018-07-24. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware