A Microsoft alerta os utilizadores do Windows sobre o malware CryptoBandits Clipper

A Microsoft Threat Intelligence detalhou uma campanha de malware para Windows rastreada como Trojan:Win32/CryptoBandits.A, descrevendo um clippers que se propaga através de unidades amovíveis, monitoriza a actividade da área de transferência (clipboard) e troca endereços de criptomoeda antes das vítimas enviarem fundos. O malware tem como alvo um dos hábitos mais comuns em cripto: copiar e colar endereços de carteiras, substituindo endereços de destino legítimos por endereços controlados pelo atacante. Esta campanha representa um método de roubo específico de cripto que explora a confiança nas unidades USB e os fluxos de trabalho rotineiros das transacções.

Malware CryptoBandits monitora o clipboard e troca endereços de cripto

O malware observa o clipboard e substitui endereços de carteiras copiados por endereços controlados pelo atacante. O relatório da Microsoft afirma que a campanha CryptoBandits utiliza monitorização de clipboard de alta frequência e pode também procurar material cripto sensível, como chaves privadas ou frases-semente. Os utilizadores copiam um endereço de destino legítimo, mas o malware intercepta e substitui esse endereço antes de a vítima o colar numa transacção. As transferências na blockchain são difíceis ou impossíveis de reverter, e as vítimas podem só perceber o que aconteceu depois de verificarem o registo da transacção.

Malware propaga-se através de drives USB usando atalhos maliciosos

A Microsoft diz que o malware pode propagar-se por unidades amovíveis, ocultando documentos reais e substituindo-os por ficheiros de atalho maliciosos que usam nomes de documentos familiares. Um utilizador abre o que parece ser um PDF normal, uma folha de cálculo ou um documento de uma unidade USB, mas o atalho executa código malicioso em vez disso. A campanha também utiliza infra-estruturas Tor para o tráfego de comando e controlo, segundo a Microsoft. Ao encaminhar a comunicação através de serviços ocultos, os atacantes conseguem tornar o malware mais difícil de desactivar e mais difícil para as defesas de rede tradicionais inspeccionarem.

A Microsoft recomenda a verificação do endereço antes de enviar fundos

As orientações da Microsoft incluem verificar os primeiros e últimos caracteres do endereço de destino antes de enviar fundos. Para transferências maiores, os utilizadores devem usar uma carteira de hardware ou um ecrã da carteira que mostre o endereço de forma independente do computador infectado. Os utilizadores devem também evitar abrir ficheiros de unidades USB desconhecidas, manter as ferramentas de segurança do Windows actualizadas e tratar os atalhos em armazenamento amovível com desconfiança. Se uma unidade mostrar de repente ficheiros familiares como ligações de atalho, é um sinal de alerta. Esta campanha é focada em Windows e visa utilizadores de cripto que dependem de fluxos de copiar-colar para endereços de transacções.

FAQ

O que é que o malware CryptoBandits faz aos endereços das carteiras de cripto?

O malware monitoriza a actividade do clipboard e substitui endereços de carteiras de criptomoeda copiados por endereços controlados pelo atacante antes de as vítimas os colarem em transacções. A Microsoft afirma que utiliza monitorização de clipboard de alta frequência e pode também procurar chaves privadas ou frases-semente.

Como é que o CryptoBandits se propaga para outros computadores?

A Microsoft reporta que o malware se propaga através de drives USB amovíveis, ocultando documentos reais e substituindo-os por ficheiros de atalho maliciosos que usam nomes de documentos familiares. Quando um utilizador abre o que parece ser um ficheiro normal a partir de uma unidade USB, o atalho executa código malicioso em vez disso.