Người dùng tiền điện tử đang bị nhắm mục tiêu với một chủng phần mềm độc hại clipper mới có tên Laplas bằng một phần mềm độc hại khác được gọi là SmokeLoader.
SmokeLoader, được gửi bằng các tài liệu vũ khí hóa được gửi qua các email lừa đảo trực tuyến, tiếp tục hoạt động như một đường dẫn cho các loại trojan hàng hóa khác như SystemBC và Raccoon Stealer 2.0, theo một phân tích từ Cyble.
Được quan sát trong tự nhiên từ khoảng năm 2013, SmokeLoader hoạt động như một trình tải chung có khả năng phân phối các tải trọng bổ sung lên các hệ thống bị xâm nhập, chẳng hạn như phần mềm độc hại đánh cắp thông tin và các bộ phận cấy ghép khác. Vào tháng 7 năm 2022, nó đã được phát hiện để triển khai một cửa hậu có tên là Amadey.
Cyble cho biết họ đã phát hiện ra hơn 180 mẫu Laplas kể từ ngày 24 tháng 10 năm 2022, đề xuất triển khai rộng rãi.
Clippers, còn được gọi là ClipBankers, thuộc một loại phần mềm độc hại mà Microsoft gọi là phần mềm mã hóa, được thiết kế để đánh cắp tiền điện tử bằng cách theo dõi chặt chẽ hoạt động trên khay nhớ tạm của nạn nhân và hoán đổi địa chỉ ví ban đầu, nếu có, với địa chỉ do kẻ tấn công kiểm soát.
Mục tiêu của phần mềm độc hại clipper như Laplas là chiếm đoạt một giao dịch tiền ảo dành cho người nhận hợp pháp thuộc sở hữu của kẻ đe dọa.
“Laplas là phần mềm độc hại clipper mới tạo ra một địa chỉ ví tương tự như địa chỉ ví của nạn nhân”, các nhà nghiên cứu chỉ ra. “Nạn nhân sẽ không nhận thấy sự khác biệt về địa chỉ, điều này làm tăng đáng kể cơ hội hoạt động của clipper thành công.”
Phần mềm độc hại clipper mới nhất cung cấp hỗ trợ cho nhiều loại ví như Bitcoin, Ethereum, Bitcoin Cash, Litecoin, Dogecoin, Monero, Ripple, zcash, Dash, Ronin, TRON, Cardano, Cosmos, Tezos, Qtum và Steam Trade URL. Nó có giá từ 59 đô la một tháng đến 549 đô la một năm.
Nó cũng đi kèm với bảng điều khiển web riêng cho phép người mua nhận được thông tin về số lượng máy tính bị nhiễm và địa chỉ ví đang hoạt động do đối thủ điều hành, ngoài việc cho phép thêm địa chỉ ví mới.
“SmokeLoader là một phần mềm độc hại nổi tiếng, có cấu hình cao, hiệu quả mà TA [threat actors] các nhà nghiên cứu kết luận.
“Nó là một phần mềm độc hại mô-đun, cho thấy nó có thể nhận được các hướng dẫn thực thi mới từ [command-and-control] máy chủ và tải xuống phần mềm độc hại bổ sung để có chức năng mở rộng. Trong trường hợp này, các TA sử dụng ba họ phần mềm độc hại khác nhau để thu lợi tài chính và các mục đích xấu khác. “
