به تازگی ابزاری شناسایی شده است که از آن برای سرقت اطلاعات کلیپ بورد استفاده می شود. نام این ابزار Laplas Clipper نام دارد. Laplas Clipper ابزار سرقت کلیپ بورد از آدرس های کیف پول ارزهای دیجیتال استفاده می کند و هدف آن تغییر و جایگزین کردن آدرس گیرنده سیستم قربانی به آدرس دلخواه هکر است.
Laplas Clipper ابزاری برای سرقت کلیپ بورد است که به تازگی شناسایی و معرفی شده است.
Laplas Clipper ابزار سرقت کلیپ بورد یک بدافزار جدیدی است که اطلاعات آدرس های کیف های پول دیجیتال را از کلیپ بورد سرقت می کند و توانایی آن را نیز دارد که آدرس ها را با موارد مورد نظر و یا مشابه جایگزین نماید.
Laplas Clipper با سایر بدافزارهای مشابه که معمولاً فقط افزونههای بدافزاری برای سرقت اطلاعات هستند، متفاوت است. ابزار جدیدی دارد که به هکرها امکان کنترل دقیق تر و بینش بهتری نسبت به کارایی عملیات خود می دهد.
این ابزار تحت یک مدل اشتراکی ارائه میشود، گرانترین سطح آن 549 دلار برای دسترسی یک ساله به پنل مبتنی بر وب است که به اپراتورها اجازه میدهد حملات خود را نظارت و کنترل کنند.
Laplas Clipper در فروم های دارک نت و به زبان روسی تبلیغ می شود
محققان امنیتی Cyble Note در گزارشی که منتشر کردند، تعداد نمونههای Laplas Clipper مشاهده شده را که پیشتر کمتر از 20 نمونه در روز بود به 55 مورد در پایان ماه گذشته افزایش دادند.
در حال حاضر Laplas Clipper از طریق Smoke Loader و Raccoon Stealer 2.0 توزیع می شود و این مساله توجه بیشتر جامعه هکرها و مقابله کنندگان با حملات سایبری را به خود جلب کرده است.
رویکرد Laplas Clipper سارق کلیپ بورد
دزدهای کلیپ بورد استاندارد که Clippers نیز نامیده می شوند، بر روی کلیپ بورد ویندوز نظارت می کنند. زمانی که کاربران آدرس کیف پول ارز دیجیتالی را به عنوان آدرس مقصد برای پرداخت کپی می کنند فعال می شوند.
وقتی این اتفاق میافتد؛ Clipperها آن آدرس را با آدرسی که متعلق به هکر است تغییر میدهند، بنابراین پرداخت را به مهاجم منتقل میکنند.
برای مقابله با این خطر، بسیاری از دارندگان کریپتو امروزه با مقایسه چند کاراکتر بررسی میکنند که آیا آدرس موجود در کلیپبورد همان آدرس مورد نظر است یا خیر، که این امر باعث میشود که clipperها کارایی کمتری داشته باشند.
توسعهدهندگان Laplas با استفاده از آدرسهایی که شباهت زیادی به آدرسی که قربانی کپی کرده است دارد، رویکرد جدیدی را برای فریب چشم تیزبین کاربران ارائه کرده اند.
تنظیمات اولیه پایه ای کیف پول دیجیتال
مشخص نیست که چگونه هکرها آدرس های مشابه را بدست می آورند. اما در آزمایشهایی که BleepingComputer انجام داد، توانست در عرض پنج ثانیه آدرسی شبیه به آدرس اصلی تولید کند.
با این حال، این امر به طور قابل توجهی بیشتر از آن چیزی است که یک کاربر معمولی برای کپی و پیست کردن نیاز دارد که میتواند باعث ایجاد شک و تردید شود.
یک نظریه این است که هکرها از قبل تعداد زیادی آدرس را برای Laplas Clipper ایجاد کرده اند تا چنانچه آدرس هایی که کاربر کپی کرده است شبیه به یکی از آنها باشد بدافزار آن را انتخاب کند.
Cyble خاطرنشان می کند که این فرآیند در سرور مهاجم اتفاق می افتد بنابراین مکانیسم دقیق آن همچنان ناشناخته باقی می ماند. شناسایی آدرسی که مشابه آنچه قربانی در کلیپ بورد کپی کرده با استفاده از عبارات منظم انجام می شود.
جایگزین کردن آدرس کلیپ بورد با آدرس هکر
تحقیقات Cyble نشان می دهد که Laplas Clipper یک آدرس بیت کوین را بازیابی کرده است که با چند کاراکتر اول و آخر آدرسی که در کلیپ بورد چسبانده شده مطابقت دارد.
با این حال در مورد اتریوم، آدرسی که از سرور مهاجم واکشی شده بود هیچ شباهتی به آدرس اصلی که سعی داشت جعل کند نداشت.
این clipper از تولید آدرس کیف پول برای آدرسهای بیتکوین، بیتکوین کش، لایتکوین، اتریوم، دوجکوین، مونرو، الگوند، راوکوین، ریپل، زی کش، دش، رونین، ترون، تزوس، سولانا، کاردانو، کاسموس، کیوتوم و استیم پشتیبانی میکند.
آدرس های کیف پول پشتیبانی شده توسط Laplas Clipper
با توجه به پست تبلیغاتی سازنده آن در دارک وب، آدرسهای جدید در کمتر از یک ثانیه ایجاد میشوند و به همراه موجودی فعلی به پنل وب خود اضافه میشوند.
کیف پولهای تولید شده به مدت سه روز در پایگاه داده ذخیره میشوند، اما اپراتورها میتوانند کلیدهای دسترسی را به حسابهای تلگرام خود ارسال کنند تا بعداً کنترل کیف پولها را به عهده بگیرند.
کاربران همچنین میتوانند از تلگرام برای دریافت اعلانهای بلادرنگ درباره هر یک از اقدامات کلیپر در هاستهای در معرض خطر مانند سرقت مقدار قابل توجهی از ارزهای دیجیتال استفاده کنند.
تعریف تلگرام برای دریافت هشدار
نکاتی مهم در مورد امنیت اطلاعات شما
- کاربران باید از دانلود فایل های اجرایی از وب سایت های مبهم و نامعتبر و اجرای پیوست های دریافت شده از طریق ایمیل ها ناشناس خودداری کنند.
- توصیه می شود قبل از انجام یک تراکنش با ارز دیجیتال، کمی صبر کرده و پس از بررسی دقیق و کامل آدرس گیرنده را تأیید کنید.
- نگهداری اطلاعات کیف پول به شکل رمزگذاری شده، دسترسی مجرمان سایبری به وجوه ارزهای دیجیتال را دشوارتر می کند، حتی اگر اطلاعات را دریافت کنند.
منابع:
Bleepingcomputer
KELA
Cyble
dark.link