一個巨大的發現奇怪的新惡意軟件病毒，除了竊取和挖掘受感染的主機上的密碼，它還會對WordPress網站發起暴力攻擊。

在過去的一年裡，一種名為Clipsa的新的惡意軟件已經流行開來，感染了來自世界各地的用戶。

這個新威脅的突出之處在於，除了經典的惡意軟件功能-比如竊取密碼貨幣錢包文件、安裝加密貨幣礦工、以及劫持用戶的剪貼板以取代加密貨幣地址-Clipsa還包含了一個有點奇怪的功能，允許它對WordPress網站發起暴力攻擊。

這種行為很奇怪，主要是因為大多數針對WordPress網站的暴力攻擊都是由受感染的服務器或物聯網設備組成的殭屍網絡進行的。

看到桌面惡意軟件對WordPress網站發起暴力攻擊並不新鮮，但它很奇怪，而且非常罕見。

“雖然我們不能肯定地說，我們相信Clipsa背後的壞角色從被攻破的[WordPress]網站上盜取了更多的數據，”一位龐大的惡意軟件研究員Jan Rubín在一篇文章中說。從技術上深入研究Clipsa的特徵他本週早些時候出版了。

他說：“我們還懷疑他們利用受感染的[WordPress]網站作為輔助C&C服務器，為礦工提供下載鏈接，或者上傳和存儲被盜數據。”

克利普薩對密碼貨幣的痴迷

但是，儘管對WordPress網站發起暴力攻擊是一個有趣的特性，但Clipsa的主要關注點是-毫無疑問-關於加密貨幣及其用戶。

首先，惡意軟件將掃描受害者的計算機以查找wallet.dat文件。這些是用於加密貨幣錢包應用程序的數據庫文件。裡面包含的數據允許任何人劫持錢包所有者的資金。Clipsa識別這些文件，然後將它們上傳到遠程服務器。

其次，Clipsa還搜索TXT文件，它打開TXT文件，搜索BIP-39格式的字符串。此文本模式主要用於存儲比特幣助記種子恢復短語，也就是有時用作密碼貨幣錢包密碼的單詞序列。如果發現任何這樣的模式，惡意軟件會將這些文本保存到另一個文件中，並將其上傳到C&C服務器，以便稍後用於破解被盜的wallet.dat文件。

第三，惡意軟件還安裝了一個進程來監視用戶的OS剪貼板(其中複製/剪切的數據在粘貼之前被存儲)。此過程監視用戶複製或剪切看起來像比特幣或Etalum地址的文本模式的事件。然後Clipsa搬進來用它的運營商之一替換這個地址，希望劫持任何被感染的用戶可能進行的支付。

第四，在某些情況下，Awide說Clipsa也將在受感染的主機上部署XMRig。XMRig是一個開源應用程序，用於挖掘Monero加密貨幣。通過部署XMRig，Clipsa操作員將在具有強大硬件配置的計算機上獲得額外資金。

感染統計

A維吾爾說，自去年(2018年8月1日)以來，他們的抗病毒產品已經阻止了超過253，000名用戶試圖感染Clipsa。

雖然該公司的統計數據提供了一個狹窄的視角，因為它們來自有限數量的防病毒裝置，統計數據顯示Clipsa的影響範圍，感染來自世界各地。

根據AVARCH公司的記錄，在印度、孟加拉國、菲律賓、巴西、巴基斯坦、西班牙和意大利等國家發現的Clipsa最多。

阿瓦格說，Clipsa感染的主要來源似乎是用於媒體播放器的編解碼包安裝程序，用戶可以從互聯網上下載。

惡意下載鏈接一次在線下載幾個月，這也解釋了為什麼Clipsa檢測被檢測到的速度是恆定的，而不是在大型集群中-這表明惡意軟件正在通過大規模的電子郵件垃圾郵件活動傳播。

此外，Clipsa背後的集團似乎也在盈利，這意味著我們將在未來看到更多的這種惡意軟件。

A維吾爾表示，該公司分析了Clipsa過去使用過的9412個比特幣地址的餘額。捷克茲反病毒製造商表示，Clipsa運營商已經從117個比特幣地址內收到的資金中，製造了近3000枚比特幣。僅通過劫持受感染用戶的剪貼板，每年約為35，000美元。

然而，如果我們再加上破解被盜的wallet.dat文件所獲得的資金，以及在用戶計算機上挖掘Monero所獲得的資金，惡意軟件運營商可能會賺更多的錢。