Gli installer trojanizzati del browser TOR, noto per garantire l’anonimato agli utenti, stanno colpendo utenti in Russia e nell’Europa dell’Est con un malware Clipper progettato per sottrarre criptovalute sin da settembre 2022.
Il funzionamento del malware Clipper
I cosiddetti “Clipboard injectors” possono rimanere silenziosi per anni, senza mostrare alcuna attività di rete o segni di presenza, fino al giorno in cui sostituiscono un indirizzo di portafoglio crittografico. Il direttore del team di ricerca e analisi globale (GReAT) per l’APAC di Kaspersky, Vitaly Kamluk, sottolinea come le funzioni nocive del malware Clipper non vengano attivate a meno che i dati negli appunti non soddisfino determinati criteri, rendendolo ancora più evasivo.
Non è chiaro come gli installatori vengano distribuiti, ma alcune prove indicano l’uso di download torrent o fonti di terze parti sconosciute, dal momento che il sito web del progetto Tor è stato oggetto di blocchi in Russia negli ultimi anni.
Il lancio del payload Clipper e il furto di criptovalute
Indipendentemente dal metodo utilizzato, l’installatore avvia l’eseguibile legittimo e, al contempo, lancia il payload Clipper che monitora il contenuto degli appunti. “Se gli appunti contengono testo, ne analizza il contenuto con un insieme di espressioni regolari incorporate”, spiega Kamluk. “Se trova una corrispondenza, la sostituisce con un indirizzo scelto casualmente da una lista predefinita.”
Ogni campione del malware contiene migliaia di possibili indirizzi di sostituzione selezionati a caso e la capacità di disabilitare il malware tramite una combinazione di tasti speciali (Ctrl+Alt+F10), probabilmente aggiunta durante la fase di test.
L’impatto del malware e le raccomandazioni per la sicurezza
La società di cybersecurity russa Kaspersky ha registrato circa 16.000 rilevamenti, con una maggioranza in Russia e Ucraina, seguiti da Stati Uniti, Germania, Uzbekistan, Bielorussia, Cina, Paesi Bassi, Regno Unito e Francia. In totale, la minaccia è stata individuata in 52 paesi in tutto il mondo.
Si stima che il piano abbia fruttato agli operatori quasi 400.000 dollari in profitti illeciti attraverso il furto di Bitcoin, Litecoin, Ether e Dogecoin. L’ammontare dei beni Monero rubati non è noto a causa delle funzioni di privacy incorporate nel servizio.
