دزدی از کیفپول ارزهای دیجیتال توسط حافظه موقت Laplas Clipper
یک دزد جدید حافظه موقت به نام Laplas Clipper که در طبیعت مشاهده شدهاست، از آدرسهای کیفپول ارزهای دیجیتالی استفاده میکند که شبیه آدرس گیرنده موردنظر قربانی است.
به گزارش پایگاه خبری بانکداری الکترونیک، با سایر بدافزارهای مشابه، که معمولاً فقط افزونههای بدافزار سرقت اطلاعات هستند، متفاوت است،گیره جدید ابزاری با ویژگیهای غنی است که به هکرها کنترل دقیقتر و بینش بهتری نسبت به کارایی عملیات خود میدهد.
این ابزار تحت یک مدل اشتراک ارائه شدهاست، گرانترین سطح آن 549 دلار برای دسترسی یک ساله به پنل مبتنی بر وب است که به اپراتورها اجازه میدهد تا حملات خود را نظارت و کنترل کنند.
laplas در تالارهای گفتگوی وب تاریک روسی زبان توسط KELA تبلیغ میشود. محققان امنیتی در Cyble Note در گزارشی در حدود یک هفته، تعداد نمونههای Laplas Clipper مشاهده شده در طبیعت از کمتر از 20 نمونه در روز به 55 مورد در پایان ماه گذشته افزایش یافت. درحالحاضر، Laplas از طریق Smoke Loader و Raccoon Stealer 2.0 توزیع میشود و نشان میدهد که توجه جامعه جرایم سایبری را بهخود جلب کردهاست.
رویکرد لاپلاس
دزدهای حافظهموقت استاندارد که Clippers نیز نامیده میشوند، برروی حافظهموقت ویندوز نظارت میکنند و زمانی که آدرس کیفپول ارز دیجیتالی را شناسایی میکنند که کاربران معمولاً بهعنوان مقصد پرداخت کپی میکنند، فعال میشوند.
وقتی این اتفاق میافتد، برشکننده آن آدرس را با آدرسی که متعلق به مجرمان سایبری است، تغییر میدهد، بنابراین پرداخت را به مهاجم منتقل میکند.
برای مقابله با این خطر، بسیاری از دارندگان کریپتو امروزه با مقایسه چند کاراکتر بررسی میکنند که آیا آدرس موجود در حافظهموقت،همان آدرس موردنظر است یا خیر، که باعث میشود اکثر گیرهها کارایی کمتری داشتهباشند.
توسعهدهندگان Laplas بااستفاده از آدرسهایی که شباهت زیادی به آدرسی که قربانی کپیکردهاست، رویکرد جدیدی را برای فریب کاربران با چشمهای تیزبین ارزهای دیجیتال ارائه کردند.
تنظیمات تولید کیف پول پایه:
مشخصنیست که چگونه هکرها آدرسهای مشابه را بهدستمیآورند،با این حال،به طور قابلتوجهی بیشتر از آن چیزی است که یک کاربر معمولی برای کپی و چسباندن متن نیاز دارد، که میتواند باعث ایجاد شک و تردید شود.
یک نظریه این است که هکرها از قبل تعداد زیادی آدرس را برای لاپلاس ایجادکردهاند تا آدرسهایی را که شبیه به آنچه قربانی استفادهکردهاست، انتخاب کند. Cyble خاطرنشان میکند که این فرآیند در سرور مهاجم اتفاق میافتد بنابراین مکانیسم دقیق ناشناخته باقی میماند، شناسایی آدرسی که مشابه آنچه قربانی در حافظهموقت چسبانده است ، بااستفادهاز عبارات منظم انجام میشود.
laplasدر حال جایگزینی آدرس حافظهموقت با منبع آدرس مورد نظر هکر
تحقیقات نشانمیدهد که Laplas یک آدرس بیتکوین را بازیابی کردهاست که با چند کاراکتر اول و آخر آدرسی که در حافظهموقت قراردارد، مطابقتدارد.
بااینحال، در مورد اتریوم، آدرسی که از سرور مهاجم واکشی شدهبود، هیچ شباهتی به آدرس اصلی که سعیداشت جعل کند، نبود.
این کلیپر از تولید آدرس کیفپول برای آدرسهای اینترنتی بیتکوین، بیتکوینکش، لایتکوین، اتریوم، دوجکوین، مونرو، الگوند، راوکوین، ریپل، زیکش، دش، رونین، ترون، تزوس، سولانا، کاردانو، کاسموس، کیوتوم و استیم پشتیبانی میکند.
آدرسهای کیف پشتیبانیشده توسط Laplas
باتوجهبه پست تبلیغاتی نویسنده در وبتاریک، آدرسهای جدید در کمتر از یک ثانیه تولید میشوند و بههمراه تعادلی که درحالحاضر دارند، به پنل وب اضافه میشوند. کیف پولهای تولیدشده بهمدت سه روز در پایگاهداده ذخیره میشوند، اما اپراتورها میتوانند کلیدهای دسترسی را به حسابهای تلگرام خود ارسال کنند تا بعداً کنترل کیف پولها را بهعهده بگیرند.
کاربران همچنین میتوانند از تلگرام برای دریافت اعلانهای بلادرنگ درباره هریک از اقدامات کلیپر در هاستهای در معرضخطر، مانند سرقت مقدار قابلتوجهی، استفاده کنند.
تعریف تلگرام برای دریافت هشدار :
در جای امن نگهداری شود.
کاربران باید از دانلود فایلهای اجرایی از وبسایتهای مبهم یا اجرای پیوستهای دریافتشده از طریق ایمیل خودداری کنند.
توصیه میشود قبل از انجام یک تراکنش با ارز دیجیتال، یک لحظه اضافی صرفکنید و آدرس گیرنده را تأیید کنید.
همچنین نگهداری کیفپول به شکل رمزگذاریشده، دسترسی مجرمان سایبری به وجوه ارزهای دیجیتال را دشوارتر میکند، حتی اگر اطلاعات را دریافت کنند.
منبع: پلیس فتا