Windows-малварь Clipsa ворует криптовалюту и брутфорсит сайты WordPress

Специалисты компании Avast обнаружили странного вредоноса Clipsa, который не только ворует криптовалюту, подменяет адреса кошельков в буфере пользователей и устанавливает майнеры на зараженные машины, но и запускает на скомпрометированных хостах брутфорс-атаки против WordPress-сайтов.

Основным источником заражений являются пакеты кодеков для медиаплееров, которые пользователи самостоятельно загружают из интернета.

По данным исследователей, Clipsa активен уже как минимум год, и больше всего специалистов удивила функциональность, направленная против WordPress-сайтов. Дело в том, что Windows-малварь крайне редко демонстрирует подобное поведение, чаще всего такие атаки осуществляются ботнетами из зараженных серверов или устройств IoT.

Эксперты пишут, что Clipsa, скорее всего, использует зараженные сайты на WordPress в качестве вторичных управляющих серверов, которые затем применяются для загрузки и хранения украденных данных, а также для размещения ссылок на скачивание майнеров.

Но, несмотря на атаки на WordPress-сайты, в основном Clipsa все же концентрируется на криптовалюте. Так, после заражения вредонос сканирует компьютер жертвы в поисках файлов wallet.dat, относящихся к криптовалюным кошелькам. Если файлы найдены, малварь похищает их и передает на удаленный сервер. Также Clipsa ищет файлы TXT, содержащие строки в формате BIP-39. Если таковые обнаруживаются, текст сохраняется в другом файле и тоже передается на сервер преступников, чтобы впоследствии использоваться для взлома украденных файлов wallet.dat.

Кроме того, малварь устанавливает контроль над буфером обмена зараженной ОС и отслеживает, когда пользователь копирует или вырезает текст, похожий на адреса Bitcoin или Ethereum. Такие адреса Clipsa подменяет адресами своих операторов, надеясь перехватить любые платежи, которые пытается сделать пользователь.

В некоторых случаях малварь также разворачивает на зараженных хостах майнер XMRig для добычи криптовалюты Monero.

По данным Avast, с 1 августа 2018 года антивирусные продукты компании блокировали более 253 000 попыток заражения Clipsa. Большинство инцидентов были зафиксированы в таких странах, как Индия, Бангладеш, Филиппины, Бразилия, Пакистан, Испания и Италия.

Эксперты проанализировал 9412 биткоин-адресов, которые операторы Clipsa использовали в прошлом. Как оказалось, злоумышленники уже «заработали» почти 3 биткоина, которые были перечислены на 117 из этих адресов. То есть доход операторов малвари составляет как минимум  35 000 долларов в год, просто благодаря подмене адресов в буферах зараженных машин. Хуже того, эта статистика не учитывает деньги, похищенные у пользователей через взлом украденных файлов wallet.dat, а также средства, полученные посредством добычи Monero.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.