يتم استهداف المستخدمين البرتغاليين بواسطة برنامج ضار جديد يحمل الاسم الرمزي CryptoClippy قادر على سرقة العملة المشفرة كجزء من حملة إعلانية خبيثة.
قالت بالو ألتو نتوركس يونيت 42 في تقرير جديد نُشر اليوم إن هذا النشاط يستفيد من تقنيات التسمم بـ SEO لإغراء المستخدمين الذين يبحثون عن "WhatsApp web" إلى المجالات المارقة التي تستضيف البرامج الضارة.
CryptoClippy ، الملف القابل للتنفيذ المستند إلى C ، هو نوع من برامج التشفير المعروفة باسم البرامج الضارة clipper التي تراقب حافظة الضحية للمحتوى المطابق لعناوين العملة المشفرة واستبدالها بعنوان محفظة تحت سيطرة ممثل التهديد.
قال باحثو الوحدة 42: "يستخدم برنامج clipper الضار تعبيرات عادية (regexes) لتحديد نوع العملة المشفرة التي ينتمي إليها العنوان".
"ثم يستبدل إدخال الحافظة بعنوان محفظة مشابه بصريًا ولكن يتحكم فيه الخصم للعملة المشفرة المناسبة. في وقت لاحق ، عندما يلصق الضحية العنوان من الحافظة لإجراء معاملة ، فإنهم يرسلون فعليًا عملة مشفرة مباشرة إلى ممثل التهديد."
يُقدر أن المخطط غير المشروع قد حقق لمشغليه حوالي 983 دولارًا حتى الآن ، مع العثور على ضحايا عبر التصنيع وخدمات تكنولوجيا المعلومات والصناعات العقارية.
من الجدير بالذكر أن استخدام نتائج البحث المسمومة لتقديم برامج ضارة قد تم تبنيه من قبل جهات التهديد المرتبطة ببرنامج GootLoader الضار .
هناك طريقة أخرى تستخدم لتحديد الأهداف المناسبة وهي نظام توجيه حركة المرور ( TDS ) ، والذي يتحقق مما إذا كانت لغة المتصفح المفضلة هي البرتغالية ، وإذا كان الأمر كذلك ، فإنه يأخذ المستخدم إلى صفحة مقصودة خادعة.
يتم إعادة توجيه المستخدمين الذين لا يستوفون المعايير المطلوبة إلى مجال WhatsApp Web الشرعي دون أي نشاط ضار آخر ، وبالتالي تجنب الكشف.
تصل النتائج بعد أيام من تفصيل SecurityScorecard لسرقة معلومات تسمى Lumma قادرة على جمع البيانات من متصفحات الويب ومحافظ العملات المشفرة ومجموعة متنوعة من التطبيقات مثل AnyDesk و FileZilla و KeePass و Steam و Telegram.