Um tipo de malware conhecido como CryptoCurrency Clipboard Hijacker pode monitorar a área de transferência do Windows para acessar e substituir endereços de criptomoedas.
Malware monitora área de transferência do Windows para acessar endereços de criptomoedas
O envio de criptomoedas ainda requer que os usuários utilizem endereços que normalmente são longos demais e difíceis de serem memorizados.
Por causa disso é normal copiar o endereço de um local e colá-lo em outro para facilitar o processo.
O problema é que alguns malwares, ou CryptoCurrency Clipboard Hijackers, se aproveitam disso monitorando a área de transferência do Windows.
Quando ele detecta que o usuário copiou o endereço, o malware o substituirá por outro controlado pelos criminosos responsáveis. Com isso as criptomoedas serão enviadas para o endereço dos criminosos e não para o endereço copiado originalmente pelo usuário.
O site BleepingComputer encontrou uma amostra deste tipo de malware que monitora mais de 2,3 milhões de endereços de criptomoedas:
Para ilustrar como este malware substitui os endereços de criptomoedas na área de transferência do Windows, o site disponibilizou o vídeo abaixo:
No vídeo é possível ver como o malware detecta o endereço copiado para a área de transferência do Windows e o substitui por outro sob controle dos criminosos.
Se o usuário não der um duplo-clique no endereço, ele não perceberá que a substituição ocorreu.
A infecção foi detectada como parte do pacote de malwares All-Radio 4.27 Portable distribuído recentemente.
Quando instalado, um arquivo DLL com o nome d3dx11_31.dll será baixado para a pasta Temp do Windows e uma entrada de execução automática chamada “DirectX 11” será criada para executar a DLL automaticamente quando o usuário de logar no computador.
Esta DLL será executada via rundll32.exe com o comando "rundll32 C:Users[nome-do-usuário]AppDataLocalTempd3dx11_31.dll,includes_func_runnded":
Um malware deste tipo é executado em segundo plano e sem indicação de que ele está sendo executado. Por causa disso a infecção é difícil de ser detectada.
É importante que os usuários mantenham seus softwares antivírus sempre atualizados para se proteger contra este tipo de ameaças.
Também é importante que os usuários sempre verifiquem os endereços de criptomoedas antes de enviá-las. Com isso será possível ver se eles foram substituídos por um malware.
O post Malware monitora área de transferência do Windows para acessar endereços de criptomoedas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br