I ricercatori dell'unità 42 e di Proofpoint hanno osservato un'interessante campagna di malspam rivolta agli utenti giapponesi e americani. Questa particolare campagna ha cercato di invogliare gli utenti ad aprire un file PDF allegato in un'email affermando che un passaporto è stato perso e che il PDF allegato conteneva una copia scannerizzata del documento.
Il malware è stato chiamato CryptoJack ed ha la funzione di sostituire un eventuale indirizzo di wallet copiato negli appunti con un indirizzo controllato da un hacker che invia fondi nel portafoglio di quest'ultimo. Nel 2017, CryptoShuffler è stato il primo malware ad utilizzare questa tattica. Diversamente con questo, che si concentra su alcune criptovalute, ComboJack ha come target sia una serie di criptovalute, sia valute digitali come WebMoney e Yandex Money.
Un volta avviato ComboJack entra in un ciclo infinito. Ogni mezzo secondo controlla il contenuto degli appunti. Il contenuto degli Appunti viene controllato per vari criteri per determinare se la vittima ha copiato le informazioni sul portafoglio per varie valute digitali. Nel caso in cui venga scoperto un portafoglio di interesse, ComboJack lo sostituirà con un portafoglio hardcoded che l'autore dell'attacco presumibilmente possiede nel tentativo di far spedire la criptovaluta accidentalmente nel luogo sbagliato. Questa tattica si basa sul fatto che gli indirizzi di portafoglio sono in genere lunghi e complessi e per evitare errori, la maggior parte degli utenti sceglierà di copiare una stringa esatta per evitare potenziali errori.
ComboJack condivide alcune somiglianze nelle funzionalità di base con CryptoShuffler, una famiglia di malware scoperta da Kaspersky nel 2017. Tuttavia, mentre CryptoShuffler si concentra esclusivamente sulle criptovalute, ComboJack si rivolge anche a sistemi di pagamento digitali popolari, come WebMoney (USD, EUR e RUB), e Yandex Money.
Post A Comment:
0 comments: