FormidApps
Um novo malware que rastreia a área de transferência do Windows em busca de endereços de criptomoedas aparentemente tem cerca de 2,3 milhões de vítimas, de acordo com especialistas em segurança digital. Ao contrário do recente ataque OSX.Dummy, ele não ataca aqueles que usam o OS X da Apple ou a tecnologia de área de transferência do macOS. Aqueles que contam com esse tipo de tecnologia parecem seguros.
Uma vez que depende da manipulação de uma DLL específica, é duvidoso que isso também causasse problemas para as instalações do GNU / Linux. Ninguém ainda comentou se o uso do Wine influenciaria o perfil de segurança dos usuários Unix.
A transferência de números de criptomoedas entre duas contas requer o uso de endereços de carteira extremamente longos. Como resultado, a esmagadora maioria dos usuários simplesmente copia e cola esses números entre dois programas. Na verdade, alguns podem fazer isso porque têm medo de registradores de pressionamento de tecla e perceberam que usar a área de transferência era mais seguro.
Os crackers podem monitorar a área de transferência do Windows e trocar uma por outra que eles controlam se uma máquina for infectada por esse novo ataque cibernético. Novos relatórios dizem que a infecção provavelmente veio como parte do pacote de aplicativos All-Radio 4.27 Portable.
Os usuários que instalam o pacote obtêm um arquivo chamado d3dx11_31.dll baixado em seu diretório Windows / Temp. Um item de execução automática chamado DirectX 11 ativa a DLL quando um usuário efetua login em sua conta.
Como resultado, parece que esses processos são legítimos até mesmo para um olho treinado. Isso tornou bastante difícil para os especialistas em segurança do Windows detectá-lo até agora.
Depois que os crackers substituem um endereço, eles podem transferir dinheiro para ele sem se preocupar com a detecção porque, mesmo se a infecção for solicitada, eles terão tokens de criptomoeda no momento em que a transação for concluída. Não há uma maneira real de recuperá-los, o que torna lucrativo infectar uma máquina mesmo por um breve período de tempo.
Felizmente, parece que os programas de segurança anti-malware estão começando a sinalizar a infecção. Todos os usuários que baixaram All-Radio ou qualquer outro pacote de aplicativo portátil estão sendo solicitados a verificar se seus sistemas estão limpos após a remoção do software ofensivo.
Não parece que nenhuma outra informação está sendo obtida como resultado do controle da área de transferência. No entanto, como a área de transferência é freqüentemente usada como um local para armazenar temporariamente as senhas, deve-se tomar cuidado extra. Alguns usuários começaram a alterar as credenciais de login da conta apenas para errar no lado da segurança.
Poucos usuários Unix provavelmente instalaram este pacote através do Wine, mitigando um pouco o ataque.
Tag Criptomoeda Segurança do Windows
