Бесплатно Экспресс-аудит сайта:

05.11.2022

Новый клиппер создает двойник криптокошелька получателя

Согласно отчету ИБ-компании Cyble, новый похититель буфера обмена Laplas Clipper использует адреса криптовалютных кошельков, которые выглядят как адрес предполагаемого получателя средств.

Инструмент предоставляется по подписке, самый дорогой тариф — $549 за годовой доступ к веб-панели, которая позволяет операторам отслеживать и контролировать свои атаки.

Laplas Clipper продвигается на русскоязычных теневых форумах

По словам экспертов Cyble, примерно за неделю количество образцов Laplas Clipper, обнаруженных в дикой природе, выросло с 20 в день до 55 в конце октября. В настоящее время Laplas Clipper распространяется через Smoke Loader и Raccoon Stealer , что свидетельствует о том, что он привлек внимание сообщества киберпреступников.

В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь.

Пока непонятно, как хакеры получают похожие адреса. Эксперты провели тесты, в которых смогли сгенерировать адрес, аналогичный исходному, всего за 5 секунд. Однако это значительно больше, чем требуется пользователю для копирования и вставки, что может вызвать подозрения.

Аналитики предполагают, что хакеры заранее сгенерировали огромное количество адресов, чтобы Laplas Clipper выбрал из них тот, который максимально похож на копируемый адрес получателя.

Cyble отмечает, что этот процесс происходит на сервере злоумышленника, поэтому точный механизм остается неизвестным. По словам исследователей, генерация адреса осуществляется с помощью регулярных выражений.

Laplas Clipper заменяет скопированный адрес из буфера обмена

Clipper поддерживает генерацию адресов кошельков для множества криптовалют, в том числе Bitcoin, Ethereum , Monero и другие. В некоторых случаях Ethereum адрес, полученный с сервера злоумышленника, не совпадал с оригиналом, который он пытался подделать. А Bitcoin адрес дублировал первые и последние несколько символов исходного адреса.

Согласно рекламному сообщению автора в даркнете, новые адреса генерируются менее чем за 1 секунду и добавляются на веб-панель вместе с балансом кошелька. Сгенерированные кошельки хранятся в базе данных в течение 3-х дней, но операторы могут отправить ключи доступа к своим учетным записям Telegram, чтобы позже взять на себя управление кошельками.

Пользователи также могут использовать Telegram для получения уведомлений в режиме реального времени о любых действиях клипера на скомпрометированных хостах, например о краже крупной суммы.

Для защиты от атак такого типа эксперты порекомендовали пользователям:

  • не загружать исполняемые файлы с малоизвестных веб-сайтов;
  • не открывать вложения, полученные по электронной почте;
  • уделять больше времени и проверять адрес получателя полностью;
  • хранить seed-фразу кошелька в зашифрованном виде, чтобы затруднить киберпреступникам получение доступа к криптовалюте.