Combojack, altera el portapapeles de windows para robar CriptoMonedas

Palo Alto Networks descubrió un malware apodado Combojack, el cual detecta cuando un usuario hace copia direcciones de Criptominedas y es capaz de alterar el portapapeles, para robar Criptomonedas y pagos en esas divisas.

Los ladrones aún mantienen el foco y el interés en las criptomonedas, y es por eso que cada día salen nuevas estrategias para el robo de estas divisas electrónicas. Los investigadores de Palo Alto Networks, han publicado una variedad del malware apodado ComboJack, que es capaz de detectar cuando un usuario copia una dirección de criptomonedas en el porta papeles, luego el malware es capaz de cambiar esa dirección por la del Autor del Código. Entonces cuando la victima haga un pago a través de esta criptomoneda en vez de pagarle al objetivo final, le termina pagando al autor del malware, si este no se da cuenta del engaño.

Diferente a otras amenazas, combojack soporta múltiples criptomomedas incluyendo el bitcoin, litecoin, monero, y etherium, y tambien soporta algunos medios de pago como Qiwi, Yandex Money, y WebMoney

El 2017, CryptoShuffler fue el primer malware en implementar esta técnica con el objetivo de robar Billeteras bitcoin, en febrero 2018 investigadores de ElevenPaths descubrieron malware de cripto monedas llamado Evrial, que toma control del portapapeles de Windows.

Los expertos indican que el malware llega a través de campañas de SPAM. Este mensaje intenta engañar a la victima mediante un PDF adjunto, que se llama passport.


Cuando los usuarios abren el documento pdf, el archivo abre un RFT que contiene embebido un objeto HTA que intenta explotar la vulnerabilidad CVE-2017-8579 en DirectX.  Finalmente el payload, que configura una llave de registro que asegura su persistencia.


ComboJack chequea el portapapeles de windows cada medio segundo por contenido que empate con el patrón de una dirección de Criptomoneda o de pago, entonces lo cambios por alguna entrada de la lista interna que pose el malware.