Usuários portugueses estão sendo alvo de um novo malware de codinome CryptoClippy, capaz de roubar criptomoedas como parte de uma campanha de malvertising.

A atividade utiliza técnicas de envenenamento de SEO para atrair usuários para domínios desonestos que hospedam o malware.

CryptoClippy, um executável baseado em C, é um tipo de cryware conhecido como malware clipper que monitora a área de transferência da vítima em busca de conteúdo que corresponda a endereços de criptomoeda e os substitui por um endereço de carteira sob o controle do agente da ameaça.

A abordagem usada para determinar alvos adequados é um sistema de direção de tráfego (TDS), que verifica se o idioma preferido do navegador é o português e, em caso afirmativo, leva o usuário a uma página de destino não autorizada.

Os usuários que não atendem aos critérios necessários são redirecionados para domínios específicos evitando assim a detecção.