El malware ClipBanker intenta detener nuestra herramienta de defensa CryptoClipWatcher

Área de Innovación y Laboratorio de ElevenPaths    28 julio, 2020
El malware ClipBanker intenta detener nuestra herramienta de defensa CryptoClipWatcher

El malware capaz de modificar el portapapeles para dar el “cambiazo” a la cartera de las criptomonedas sigue existiendo. Para combatirlo, en ElevenPaths creamos CryptoClipWatcher, una herramienta que vigila el portapapeles y alerta si se realiza algún cambio inadvertido en él. El malware ClipBanker tiene esto en cuenta e intenta detener el proceso antes de infectar.

Desde hace años, la técnica de crypto clipboard hijacking es habitual en el malware. En 2018 presentamos CryptoClipWatcher. Una vez instalada, nuestra herramienta comprobará si, una vez que se ha copiado una wallet o dirección de criptomoneda en el portapapeles, se modifica antes de que se reemplace por otra cosa. Mostramos aquí un vídeo que explica cómo funciona.

El troyano ClipBanker, programado en .NET, ya lleva un tiempo detectando nuestra herramienta e intentando detenerla. La última muestra conocida que hemos comprobado es de mayo de 2020. Veamos cómo lo hace.

Funcionamiento del malware

Como hemos mencionado, este malware monitoriza el portapapeles para robar criptomonedas, pero también exfiltra claves privadas del formato de importación de wallet (WIF) a través de IP logger. Lo interesante es cómo se defiende de ser analizado o detenido. Para comprobar si está corriendo en una máquina virtual, utiliza WMIC para consultar información sobre el BIOS, específicamente usa el comando “wmic bios” y busca palabras como VBOX, VirtualBox, XEN, qemu, bochs y VM.

Para detectar antivirus, usa también WMIC para preguntar al Windows Security Center qué productos hay. La consulta es:

ManagementObjectSearcher(‘root\\SecurityCenter2’, ‘SELECT * FROM AntivirusProduct’)

Y luego busca nuestro CCW.

En la siguiente función llamada CCW, busca si existe un proceso con un nombre concreto almacenado en la variable ccwProcessName.

La variable está ofuscada:

Esa cadena está en base64 y se le ha aplicado este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 a su vez en base64. Una vez resuelto:

Nuestra aplicación corre con privilegios en el sistema, por tanto solo podrá detener el proceso si el malware se ejecuta también con esos privilegios elevados.

La muestra que hemos analizado es: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *