De Tsjechische beveiligingsspecialist Avast heeft een opvallende nieuwe malware ontdekt. Naast het stelen en minen van cryptomunten op geïnfecteerde hosts, lanceert de Clipsa-malware ook bruteforce-aanvallen op WordPress-sites.
Clipsa heeft het afgelopen jaar gebruikers van over de hele wereld geïnfecteerd. De meeste Clipsa-detecties zijn geregistreerd in India, Bangladesh, de Filippijnen, Brazilië, Pakistan, Spanje en Italië. Volgens de beveiligingsspecialist lijkt de primaire bron van Clipsa-infecties afkomstig te zijn van codecpack-installers voor mediaspelers, die gebruikers van het internet downloaden.
De malware bevat een aantal klassieke malwarefuncties om cryptomunten te stelen of minen, maar kan daarnaast ook bruteforce-aanvallen op WordPress-sites uitvoeren. Dat meldt ZDNet.
Bruteforce-aanvallen
Normaal worden bruteforce-aanvallen op WordPress-sites uitgevoerd door botnets van geïnfecteerde servers of IoT-apparaten. PC-malware die bruteforce-aanvallen op WordPress-sites lanceert, is op zich niet nieuw, maar wel vreemd en uiterst zeldzaam
“Hoewel we het niet met zekerheid kunnen zeggen, geloven we dat de slechte actoren achter Clipsa verdere gegevens stelen van WordPress-sites, waar inbreuk op is gemaakt. We vermoeden ook dat ze de geïnfecteerde sites als secundaire C&C-servers gebruiken om downloadlinks voor miners te hosten. Of om gestolen gegevens te uploaden en op te slaan”, zegt Jan RubÃn, malwareonderzoeker bij Avast.
Cryptomunten
Het voornaamste doel van Clipsa is evenwel om cryptomunten te bemachtigen. Zo scant de malware eerste de computer van een slachtoffer op wallet.dat-bestanden, databasebestanden voor cryptowallet-apps. Als een hacker eenmaal toegang tot die gegevens heeft, kan hij geld uit de wallet kapen. Clipsa identificeert dergelijke bestanden en uploadt deze vervolgens naar een externe server.
Vervolgens zoekt de malware naar txt-bestanden, opent deze en zoekt naar tekenreeksen in het BIP-39-formaat. Dit tekstpatroon wordt met name gebruikt voor het opslaan van woordreeksen die gebruikt worden als wachtwoorden voor cryptowallets. Bij het vinden van dergelijke patronen slaat Clipsa de tekst in een ander bestand op en uploadt het naar zijn C&C-server. In een later stadium worden deze gebruikt om de gestolen wallet.dat-bestanden te kraken.
Bovendien installeert de malware ook een proces dat het klembord van de gebruiker controleert. Hierbij wordt gelet op gebeurtenissen waarbij de gebruiker een tekstpatroon kopieert of knipt dat eruitziet als een Bitcoin- of Ethereum-adres. Clipsa vervangt vervolgens dat adres door een adres van de criminelen, in de hoop eventuele betalingen te kapen die een geïnfecteerde gebruiker doet.
XMRig
Ook implementeert Clipsa in sommige gevallen XMRig op geïnfecteerde hosts. XMRig is een opensource app die de Monero-cryptovaluta mijnt. Het implementeren van de app op computers met krachtige hardwareconfiguraties levert de criminelen achter Clipsa extra geld op.
Avast heeft het saldo geanalyseerd van 9.412 Bitcoin-adressen die Clipsa in het verleden heeft gebruikt. Door alleen al clipboards van geïnfecteerde gebruikers te kapen, zouden Clipsa-operators jaarlijks zo’n 35.000 dollar verdienen.
Gerelateerd: Cybercriminelen verkiezen cryptojacking boven ransomware voor betere ROI