دزدی از کیف‌پول ارز‌های دیجیتال توسط حافظه موقت Laplas Clipper

به گزارش پایگاه خبری بانکداری الکترونیک، با سایر بدافزار‌های مشابه، که معمولاً فقط افزونه‌های بد‌افزار سرقت اطلاعات هستند، متفاوت است،گیره جدید ابزاری با ویژگی‌های غنی است که به هکر‌ها کنترل دقیق‌تر و بینش بهتری نسبت به کارایی عملیات خود می‌دهد.

این ابزار تحت یک مدل اشتراک ارائه شده‌است، گرانترین سطح آن 549 دلار برای دسترسی یک ساله به پنل مبتنی بر وب است که به اپراتور‌ها اجازه می‌دهد تا حملات خود را نظارت و کنترل کنند.

laplas در تالار‌های گفتگوی وب تاریک روسی زبان توسط  KELA تبلیغ می‌شود. محققان امنیتی در Cyble Note در گزارشی در حدود یک هفته، تعداد نمونه‌های Laplas Clipper مشاهده شده در طبیعت از کمتر از 20 نمونه در روز به 55 مورد در پایان ماه گذشته افزایش  یافت. در‌حال‌حاضر، Laplas از طریق Smoke Loader و Raccoon Stealer 2.0 توزیع می‌شود و نشان می‌دهد که توجه جامعه جرایم سایبری را به‌خود جلب کرده‌است.

رویکرد لاپلاس

دزد‌های حافظه‌موقت استاندارد که Clippers نیز نامیده می‌شوند، بر‌روی حافظه‌موقت ویندوز نظارت می‌کنند و زمانی که آدرس کیف‌پول ارز دیجیتالی را شناسایی می‌کنند که کاربران معمولاً به‌عنوان مقصد پرداخت کپی می‌کنند، فعال می‌شوند.

وقتی این اتفاق می‌افتد، برش‌کننده آن آدرس را با آدرسی که متعلق به مجرمان سایبری است، تغییر می‌دهد، بنا‌بر‌این پرداخت را به مهاجم منتقل می‌کند.

برای مقابله با این خطر، بسیاری از دارندگان کریپتو امروزه با مقایسه چند کاراکتر بررسی می‌کنند که آیا آدرس موجود در حافظه‌موقت،همان آدرس مورد‌نظر است یا خیر، که باعث می‌شود اکثر گیره‌ها کارایی کمتری داشته‌باشند.

توسعه‌دهندگان Laplas با‌استفاده از آدرس‌هایی که شباهت زیادی به آدرسی که قربانی کپی‌کرده‌است، رویکرد جدیدی را برای فریب کاربران با چشم‌های تیزبین ارز‌های دیجیتال ارائه کردند.

تنظیمات تولید کیف پول پایه:

مشخص‌نیست که چگونه هکر‌ها آدرس‌های مشابه را به‌دست‌می‌آورند،با این حال،به طور قابل‌توجهی بیشتر از آن چیزی است که یک کاربر معمولی برای کپی و چسباندن متن نیاز دارد، که می‌تواند باعث ایجاد شک و تردید شود.

یک نظریه این است که هکر‌ها از قبل تعداد زیادی آدرس را برای لاپلاس ایجاد‌کرده‌اند تا آدرس‌هایی را که شبیه به آنچه قربانی استفاده‌کرده‌است، انتخاب کند. Cyble خاطر‌نشان می‌کند که این فرآیند در سرور مهاجم اتفاق می‌افتد بنا‌بر‌این مکانیسم دقیق ناشناخته باقی می‌ماند، شناسایی آدرسی که مشابه آنچه قربانی در حافظه‌موقت چسبانده است ، با‌استفاده‌از عبارات منظم انجام می‌شود.

laplasدر حال جایگزینی آدرس حافظه‌موقت با منبع آدرس مورد نظر هکر

تحقیقات نشان‌‌می‌دهد که Laplas یک آدرس بیت‌کوین را بازیابی کرده‌است که با چند کاراکتر اول و آخر آدرسی که در حافظه‌موقت قرار‌دارد، مطابقت‌دارد.

با‌این‌حال، در مورد اتریوم، آدرسی که از سرور مهاجم واکشی شده‌بود، هیچ شباهتی به آدرس اصلی که سعی‌داشت جعل کند، نبود.

این کلیپر از تولید آدرس کیف‌پول برای آدرس‌های اینترنتی بیت‌کوین، بیت‌کوین‌کش، لایت‌کوین، اتریوم، دوج‌کوین، مونرو، الگوند، راو‌کوین، ریپل، زی‌کش، دش، رونین، ترون، تزوس، سولانا، کاردانو، کاسموس، کیوتوم و استیم پشتیبانی می‌کند.

آدرس‌های کیف پشتیبانی‌شده توسط Laplas

با‌توجه‌به پست تبلیغاتی نویسنده در وب‌تاریک، آدرس‌های جدید در کمتر از یک ثانیه تولید می‌شوند و به‌همراه تعادلی که در‌حال‌حاضر دارند، به پنل وب اضافه می‌شوند. کیف پول‌های تولید‌شده به‌مدت سه روز در پایگاه‌داده ذخیره می‌شوند، اما اپراتور‌ها می‌توانند کلید‌های دسترسی را به حساب‌های تلگرام خود ارسال کنند تا بعداً کنترل کیف پول‌ها را به‌عهده بگیرند.

کاربران همچنین می‌توانند از تلگرام برای دریافت اعلان‌های بلادرنگ درباره هر‌یک از اقدامات کلیپر در هاست‌های در معرض‌خطر، مانند سرقت مقدار قابل‌توجهی، استفاده کنند.

تعریف تلگرام برای دریافت هشدار :

در جای امن نگهداری شود.

کاربران باید از دانلود فایل‌های اجرایی از وب‌سایت‌های مبهم یا اجرای پیوست‌های دریافت‌شده از طریق ایمیل خودداری کنند.

توصیه می‌شود قبل از انجام یک تراکنش با ارز دیجیتال، یک لحظه اضافی صرف‌کنید و آدرس گیرنده را تأیید کنید.

همچنین نگهداری کیف‌پول به شکل رمز‌گذاری‌شده، دسترسی مجرمان سایبری به وجوه ارز‌های دیجیتال را دشوار‌تر می‌کند، حتی اگر اطلاعات را دریافت کنند.

منبع: پلیس فتا