Согласно отчету ИБ-компании Cyble, новый похититель буфера обмена Laplas Clipper использует адреса криптовалютных кошельков, которые выглядят как адрес предполагаемого получателя средств.
Инструмент предоставляется по подписке, самый дорогой тариф — $549 за годовой доступ к веб-панели, которая позволяет операторам отслеживать и контролировать свои атаки.
Laplas Clipper продвигается на русскоязычных теневых форумах
По словам экспертов Cyble, примерно за неделю количество образцов Laplas Clipper, обнаруженных в дикой природе, выросло с 20 в день до 55 в конце октября. В настоящее время Laplas Clipper распространяется через Smoke Loader и Raccoon Stealer , что свидетельствует о том, что он привлек внимание сообщества киберпреступников.
В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь.
Пока непонятно, как хакеры получают похожие адреса. Эксперты провели тесты, в которых смогли сгенерировать адрес, аналогичный исходному, всего за 5 секунд. Однако это значительно больше, чем требуется пользователю для копирования и вставки, что может вызвать подозрения.
Аналитики предполагают, что хакеры заранее сгенерировали огромное количество адресов, чтобы Laplas Clipper выбрал из них тот, который максимально похож на копируемый адрес получателя.
Cyble отмечает, что этот процесс происходит на сервере злоумышленника, поэтому точный механизм остается неизвестным. По словам исследователей, генерация адреса осуществляется с помощью регулярных выражений.
Laplas Clipper заменяет скопированный адрес из буфера обмена
Clipper поддерживает генерацию адресов кошельков для множества криптовалют, в том числе Bitcoin,
Источник: SecurityLab