O malware ClipBanker tenta parar nossa ferramenta de defesa CryptoClipWatcher

O malware pode modificar a área de transferência para dar o «switcheroo» ao portfólio de criptomonedas ainda existe. Para combatê-lo, no ElevenPaths, criamos o CryptoClipWatcher , uma ferramenta que vigia a área de transferência e alerta se são feitas alterações inadvertidas. O ClipBanker de malware leva isso em consideração e tenta interromper o processo antes de infectar.

Durante anos, a técnica de seqüestro de área de transferência de criptografia tem sido comum em malware . Em 2018, introduzimos o CryptoClipWatcher. Uma vez instalada, nossa ferramenta verifica se, depois que um endereço de carteira ou criptomoeda é copiado para a área de transferência, ele é modificado antes de ser substituído por outra coisa. Mostramos aqui um vídeo que explica como funciona.

O Trojan ClipBanker, programado em .NET, detecta nossa ferramenta há um tempo e tenta pará-la. A última amostra conhecida que verificamos é de maio de 2020. Vamos ver como isso acontece.

Operação do malware

Como mencionamos, esse malware monitora a área de transferência para roubar criptomoedas, mas também exfiltra chaves privadas do formato de importação de carteira (WIF) através do registrador IP. O interessante é como ele se defende de ser analisado ou detido. Para verificar se está sendo executado em uma máquina virtual, use o WMIC para verificar informações sobre o BIOS, use especificamente o comando «wmic bios» e procure por palavras como VBOX, VirtualBox, XEN, qemu, bochs e VM.

This image has an empty alt attribute; its file name is image-42.png

Para detectar antivírus, use também o WMIC para perguntar à Central de Segurança do Windows que produtos existem. A consulta é:

ManagementObjectSearcher ('root \\ SecurityCenter2', 'SELECT * FROM AntivirusProduct')

This image has an empty alt attribute; its file name is image-43.png

E, em seguida, pesquise nosso CCW.

This image has an empty alt attribute; its file name is image-44.png

Na função a seguir, chamada CCW, localize se existe um processo com um nome específico armazenado na variável ccwProcessName.

This image has an empty alt attribute; its file name is image-45.png

A variável é ofuscada:

Essa sequência está na base64 e este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 foi aplicado a ela por sua vez na base64. Uma vez resolvido:

Nosso aplicativo é executado com privilégios no sistema, portanto , ele só poderá interromper o processo se o malware também executar com esses privilégios elevados.

A amostra que analisamos é: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9

ElevenPaths expande seu portfólio de soluções de segurança na nuvem com Prisma Cloud da Palo Alto NetworksCibersegurança pandêmica (II)