A Avast protegeu mais de 253.000 usuários, no ano passado, contra o Clipsa. O Clipsa é um ladrão de senhas multifuncionais, criado em Visual Basic, que invade e rouba credenciais de administradores de sites WordPress não protegidos, além de roubar criptomoedas e minerar moedas digitais em máquinas infectadas. Foco são sites vulneráveis do WordPress e criptomoedas
O Clipsa se espalha como um arquivo executável malicioso, provavelmente disfarçado como instalador de pacotes de codec para media players. Uma vez que esteja no dispositivo infectado, o Clipsa executa várias ações como procurar por um endereço de carteira virtual presente na área de transferência da vítima. Então, para receber o dinheiro da transação financeira, pode substituí-lo por um outro pertencente a alguém mal-intencionado e que está por trás do Clipsa. Além disso, o Clipsa é capaz de pesquisar e roubar arquivos wallet.dat e instalar um minerador de criptomoedas.
O Clipsa usa PCs infectados para rastrear sites vulneráveis do WordPress na internet. Depois de encontrar um site vulnerável, ele tenta forçar a entrada enviando credenciais de login válidas para o servidor C&C do Clipsa. O Laboratório de Ameaças da Avast acredita que, os agentes mal-intencionados por trás do Clipsa, podem roubar mais dados das brechas dos sites. Suspeitam ainda que utilizem os sites infectados como servidores C&C secundários, para hospedar links de downloads que visam minerar ou fazer o upload e armazenar dados roubados.
"O Clipsa é um ladrão de senhas incomum, pois suporta uma ampla gama de funcionalidades. Em vez de se concentrar apenas em senhas e carteiras virtuais presentes no computador da vítima, o Clipsa também obriga PCs a fazerem o trabalho sujo dos cibercriminosos, como procurar por sites vulneráveis do WordPress na internet e forçar suas credenciais. Quanto mais máquinas estiverem infectadas, mais poder computacional o Clipsa tem", disse Jan Rubín, pesquisador de malware da Avast.
A campanha é mais efetiva na Índia, onde a Avast bloqueou mais de 43.000 tentativas de infecção pelo Clipsa, protegendo mais de 28.000 usuários no país contra o malware. O Laboratório de Ameaças da Avast também observou taxas mais altas de tentativas de infecção nas Filipinas, onde a Avast protegeu mais de 15.000 usuários contra o Clipsa. No Brasil, a Avast protegeu mais de 13.000 usuários. No total, mais de 253.000 usuários foram protegidos mais de 360.000 vezes, desde 1º de agosto de 2018.
Detectando o Clipsa
Caso um dispositivo esteja infectado com o Clipsa, os usuários poderão notar um desempenho mais lento do PC do que o normal, devido à ação maliciosa do malware de mineração de criptomoedas em segundo plano, bem como de rastreamento de sites vulneráveis do WordPress na internet. Além disso, os usuários poderão notar que o conteúdo da área de transferência está sendo modificado sempre que tentam copiar um endereço da carteira virtual.