Dalle attività di monitoraggio emerge che i ricercatori di AVAST hanno individuato un malware multiuso, denominato Clipsa, in grado di catturare password.
Stando alle analisi svolte dai ricercatori si apprende che Clipsa, scritto in Visual basic, è specializzato per la cattura di credenziali e criptovalute e viene utilizzando per lanciare attacchi di forza bruta acquisendo credenziali amministrative di siti WordPress non sicuri.
Clipsa si diffonde tramite file eseguibili, probabilmente mascherati da software di uso comune come pacchetti di codec per lettori multimediali tipo: Ultra XVid Codec Pack.exe o Installer_x86-x64_89006.exe.
Una volta infettato un sistema, il malware può eseguire svariate azioni come cercare e rubare file “wallet.dat” e installare un miner di criptovaluta. Altra funzionalità è la ricerca sul pc della vittima di indirizzi “cryptowallet,” ovvero quella “posizione” specifica sulla blockchain a cui è possibile inviare monete, lo scopo del malware è di sostituire gli indirizzi con quelli di proprietà dei criminali che operano dietro Clipsa. Inoltre il malware utilizza gli stessi sistemi infettati per ricercare, tramite scansioni su Internet, siti WordPress vulnerabili. Una volta identificato Clipsa tenta di forzare l’accesso al sito inviando le credenziali valide ai server C&C. Non è ancora chiaro se gli autori rubino ulteriori dati dai siti violati ma si sospetta che i siti infetti vengano riutilizzati come server C&C secondari da dedicare ad altri scopi.
Uno dei paesi maggiormente colpiti da Clipsa è l’India, seguito dalle Filippine e dal Brasile. In Europa sono state rilevate infezioni anche in Spagna e in Italia.
FONTE: CERT-PA, Computer Emergency Response Team Pubblica Amministrazione, https://www.cert-pa.it/notizie/clipsa-il-malware-che-tenta-di-carpire-le-credenziali-amministrative-di-wordpress/