Platforma GitHub wykryła dystrybucję nowego złośliwego oprogramowania dla systemu Windows o nazwie Keyzetsu Clipper, którego celem są portfele kryptowalutowe użytkowników. Aby oszukać użytkowników, napastnicy tworzą fałszywe repozytoria z nazwami popularnych projektów, które wyglądają na uzasadnione, i nakłaniają ofiary do pobrania złośliwego oprogramowania, które zagraża bezpieczeństwu ich zasobów kryptograficznych.
Firma zajmująca się cyberbezpieczeństwem Checkmarx podkreśla, że takie działania nie tylko maskują zagrożenia, ale także ułatwiają ich rozprzestrzenianie się poprzez nadużywanie wyników wyszukiwania GitHub. Złośliwe repozytoria mogą wydawać się uzasadnione, gdy pojawiają się na górze wyników wyszukiwania, a także mają wiele fałszywych gwiazdek i częstych modyfikacji, które sprawiają, że wyglądają na aktywne, co pomaga im awansować w wynikach wyszukiwania w GitHub.
Szkodnik Keyzetsu Clipper atakuje do 12 różnych adresów portfeli kryptowalut, a ataki te mają miejsce codziennie o określonej godzinie. Program ten potrafi kraść szeroką gamę kryptowalut, w tym Bitcoin i Ethereum, fałszując adresy portfeli w momencie dokonywania transakcji przez ofiarę.
Transakcje kryptowalutowe przeprowadzane są za pośrednictwem sieci blockchain, które są na tyle zdecentralizowane, że po zakończeniu transakcji nie można jej już cofnąć. Dlatego ofiara nie może żądać zwrotu pieniędzy, jeśli atakującemu udało się uzyskać dostęp do portfela kryptowalut lub dokonać niechcianej transakcji.
Yuhuda Gelb, inżynier badawczy w Checkmarx, informuje, że to szkodliwe oprogramowanie nie tylko przekierowuje środki na adresy kontrolowane przez atakujących, ale także przesyła dane osobowe ofiar do specjalnego bota Telegramu. Zwiększa to ryzyko, ponieważ kradzieży danych towarzyszy ich dalsze wykorzystanie w oszukańczych schematach.
Keyzetsu Clipper wykrywa również geolokalizację ofiary i wyświetla inne instrukcje, jeśli użytkownik znajduje się w Rosji, chociaż Gelb zauważa, że ta funkcja nie jest jeszcze włączona w Rosji. Nieaktywny stan rosyjskiego skryptu szkodliwego oprogramowania wskazuje na potencjalną ekspansję ataków w przyszłości.