Laplas Clipper, czyli nowy malware podmieniający dane portfeli kryptowalut w schowku systemowym

17 Listopada 2022

Zespół bezpieczeństwa firmy Cyble, opublikował na początku listopada raport na temat nieobserwowanego wcześniej modułu złośliwego oprogramowania nazwanego Laplas Clipper. Malware ten należy do rodziny tzw. „clipboard stealerów”, czyli złośliwego oprogramowania służącego do wykradania i manipulowania danymi przechowywanymi przez system operacyjny w schowku. Ukierunkowany jest on głównie na użytkowników korzystających na swoich komputerach z portfeli kryptowalut, a jego głównym zadaniem jest dokonywana „w tle” (niemal w czasie rzeczywistym) podmiana adresu portfela kryptowalut – na który to użytkownik (ofiara) przekazuje środki – na adres należący do cyberprzestępców.

Tym co wyróżnia opisywane narzędzie od innych jemu podobnych, to sposób w jaki podmienia ono adresy portfeli. Twórcy Laplas Clippera zaprojektowali swój malware w taki sposób aby adres portfela na który podmieniany jest oryginalny adres, jak najbardziej go przypominał, co ma utrudnić ostrożnym i spostrzegawczym użytkownikom rozpoznanie oszustwa, którego ofiarą właśnie padają. Dla przykładu: adres BTC, na który podmieniany jest prawidłowy adres, ma takie same kilka pierwszych i ostatnich znaków.

Jak każde szanujące się w dzisiejszych czasach złośliwe oprogramowanie, tak i to dystrybuowane jest w modelu subskrypcyjnym, a najdroższy wariant Laplas Clippera kosztuje 549$ za rok, oferując m.in. przyjazny webowy interfejs administracyjny oraz powiadomienia Telegram dotyczące aktywności malware’u na skompromitowanych hostach.

Źródło:
New Laplas Clipper Distributed via SmokeLoader
New clipboard hijacker replaces crypto wallet addresses with lookalikes

Opublikowane przez: CERT EXATEL

Inne artykuły_