Laplas Clipper と呼ばれる新しいクリップボード スティーラーは、被害者の意図した受信者のアドレスに似た仮想通貨ウォレット アドレスを使用しています。
Laplas は、通常、情報を盗むマルウェアの単なるアドオンである同種の他のマルウェアとは異なり、新しいクリッパーは機能豊富なツールであり、ハッカーがより細かく制御し、操作の効率をよりよく把握できるようにします。
このツールはサブスクリプション モデルで提供されており、最も高価な層は、オペレーターが攻撃を監視および制御できる Web ベースのパネルへの 1 年間のアクセスで 549 ドルです。
KELAの礼儀
約 1 週間で発見されたラプラス クリッパーのサンプル数は、1 日 20 未満から先月末には 55 に増加した、とCybleのセキュリティ研究者はレポートで指摘しています。
現在、Laplas は Smoke Loader と Raccoon Stealer 2.0 を通じて配布されており、サイバー犯罪コミュニティの注目を集めています。
ラプラスのアプローチ方法
クリッパーとも呼ばれる標準のクリップボード スティーラーは、Windows クリップボードを監視し、ユーザーが支払い先として通常コピーする暗号通貨ウォレット アドレスを検出するとアクティブ化します。
これが発生すると、クリッパーはそのアドレスをサイバー犯罪者のものに変更し、支払いを攻撃者に転用します。
このリスクに対抗するために、現在、多くの仮想通貨保有者は、クリップボード内のアドレスが意図したものかどうかをいくつかの文字を比較してチェックしています。
Laplas の開発者は、被害者がコピーしたものと非常によく似たアドレスを使用して、熱心な仮想通貨ユーザーを欺く新しいアプローチを思い付きました。
ソース:
ハッカーが同様のアドレスを取得する方法は不明です。行われたテストでは、元の入力と同様のアドレスを 5 秒という速さで生成することができました。
ただし、これは平均的なユーザーがコピーして貼り付けるのにかかる時間を大幅に上回っているため、疑念が生じる可能性があります.
1 つの理論は、被害者が使用したものと同様のアドレスを選択するために、ハッカーが Laplas のために事前に大量のアドレスを事前に生成したというものです。
Cyble は、このプロセスは攻撃者のサーバーで発生するため、正確なメカニズムは不明のままであると指摘しています。正規表現を使用して、被害者がクリップボードに貼り付けたアドレスに類似したアドレスを特定します。
出典:サイブル
Cyble は、彼らの研究が、クリップボードに貼り付けられたものの最初と最後の数文字に一致するビットコイン アドレスを Laplas が取得したことを示したと共有しました。
しかし、イーサリアムの場合、攻撃者のサーバーから取得したアドレスは、なりすましを試みた元のアドレスとはまったく異なっていました。
クリッパーは、Bitcoin、Bitcoin Cash、Litecoin、Ethereum、Dogecoin、Monero、Algorand、Ravecoin、Ripple、Zcash、Dash、Ronin、Tron、Tezos、Solana、Cardano、Cosmos、Qtum、Steam Trade URL のウォレット アドレス生成をサポートしています。
著者のダーク Web でのプロモーション投稿によると、新しいアドレスは 1 秒もかからずに生成され、現在保持している残高とともに Web パネルに追加されます。
生成されたウォレットはデータベースに 3 日間保存されますが、オペレーターはアクセス キーを Telegram アカウントに送信して、後でウォレットの制御を引き継ぐことができます。
ユーザーは Telegram を使用して、大量の盗みなど、侵害されたホストでのクリッパーのアクションに関するリアルタイムの通知を受け取ることもできます。
ユーザーは、あいまいな Web サイトから実行可能ファイルをダウンロードしたり、電子メールで受信した添付ファイルを実行したりしないようにする必要があります。
暗号通貨取引を行う前に、少し時間をかけて受信者のアドレスを検証することをお勧めします。
ウォレットのシードを暗号化された形式で保存することで、サイバー犯罪者が情報を入手したとしても、暗号通貨の資金へのアクセスを取得するのがより困難になるはずです.
Comments