Desde el pasado 29 de junio CryptoCurrency Clipboard Hijackers comenzó a apropiarse de las direcciones del portapapeles de los usuarios de criptomonedas para intercambiarlas por otras que son controladas por ciberdelincuentes, con el fin de desviar los fondos de los usuarios, según detectó el equipo de BleepingComputer la última semana de junio de 2018, según reseñó Criptonoticias.
Cuando el virus se instala en el computador, una DLL (biblioteca de enlace dinámico) llamada d3dx11_31.dll se añade a la carpeta Temp del sistema Windows y se crea un archivo ejecutable llamado “DirectX 11”.
Este ejecutable contiene el malware y se activa cada vez que un usuario inicia el sistema. Cuando el usuario inicia una operación de intercambio de criptomonedas y copia la dirección a la que va a enviar sus fondos o recibirlos, el virus detecta la acción y sustituye esta dirección copiada por otra que envía las criptomonedas a los ciberatacantes que distribuyeron el software malicioso.
La operación fue detallada en un video que fue difundido por el canal de YouTube de los investigadores: