2.3 Millones de wallets estan siendo monitoreadas por un nuevo Malware Clipboard Hijacker

Nuevo Malware Clipboard Hijacker

Mientras que las criptomonedas han experimentado un gran crecimiento en el último año, el envío de estas aún requiere que los usuarios envíen las monedas a direcciones largas y difíciles de recordar. Debido a esto, al realizar las transferencias, muchos usuarios simplemente copian la dirección en la memoria de una aplicación y la pegan en otra aplicación que están utilizando para enviar las monedas.

Los atacantes reconocen que los usuarios están copiando y pegando las direcciones y han creado malware para aprovechar esto. Este tipo de malware, llamado CryptoCurrency Clipboard Hijackers, funciona monitoreando el portapapeles de Windows en busca de direcciones de criptomonedas, y si se detecta uno, lo intercambiará con una dirección que ellos controlen. A menos que un usuario verifique dos veces la dirección después de pegarla, las monedas enviadas irán a una dirección bajo control de los atacantes en lugar del destinatario previsto.

Si bien hemos cubierto secuestradores de portapapeles de criptomonedas en el pasado y no son nuevos, la mayoría de las muestras anteriores monitorearon entre 400 y 600 mil direcciones de criptomoneda. Se ha detectado que este tipo de malware  monitorea más de 2.3 millones de direcciones de criptomonedas!

Cómo se carga la infección

Esta infección se detectó como parte del paquete de malware portátil All-Radio 4.27 que se distribuyó esta semana. Cuando se instala, una DLL llamada d3dx11_31.dll se descargará a la carpeta Temp de Windows y se creará una ejecución automática llamada “DirectX 11” para ejecutar la DLL cuando un usuario inicie sesión en la computadora.

LEER  Nueva amenaza detectada: "PowerGhost", malware que afecta la minería de criptomonedas.

Esta DLL se ejecutará utilizando rundll32.exe con el comando “rundll32 C: \ Users \ [nombre de usuario] \ AppData \ Local \ Temp \ d3dx11_31.dll, includes_func_runnded”.

A medida que este tipo de malware se ejecuta en segundo plano sin indicación de que se esté ejecutando, no es fácil detectar que está infectado. Por lo tanto, es importante tener siempre instalada una solución antivirus actualizada para protegerse de este tipo de amenazas.

También es muy importante que todos los usuarios de criptomonedas verifiquen las direcciones a las que envían cryptocoins antes de que realmente las envíen. De esta forma, puede detectar si una dirección ha sido reemplazada por una diferente a la prevista.

Déjanos conocer tu opinión