خانواده بدافزار Clipper با هدف قرار دادن کاربران ارز دیجیتال، به جای آدرس کیف پول کاربر، آدرس کیف پول خود را اضافه میکنند و در ادامه تراکنشهای ارز دیجیتال را میربایند.
به گزارش گرداب، بدافزار Clipper جابجایی آدرسهای کیف پول را با مانیتورینگ Clipboard قربانی انجام میدهد؛ درواقع زمانی که کاربر اطلاعاتی را کپی میکند، این بدافزار محتوای کپی شده را چک میکند که آیا شامل آدرس کیف پول ارز دیجیتال است یا خیر؟
بدافزار برای نظارت بر فعالیت قربانی و مانیتور Clipboard او، الگوی Regex را دانلود میکند و در صورت تشخیص دادن هرگونه آدرس کیف پول در دادههای Clipboard، آدرس کیف پول مهاجم را از سرورهای راه دور با استفاده از توابعی دانلود میکند.
طبق اعلام مرکز مدیریت راهبردی افتا، پس از دانلود آدرس کیف پول مهاجم، Clipper آن آدرس را از طریق تابعی خاص، جایگزین آدرس کیف پول قربانی میکند. با توجه به روش کار بدافزار که آدرس کیف پول مشابهی را با آدرس کیف پول قربانی جایگزین میکند، کاربر معمولاً متوجه این تغییر نمیشود. Laplas بدافزار جدیدی از خانواده Clipper هاست که در نوامبر ۲۰۲۲ شناسایی شده است که خود چندین بدافزار دیگر را از جمله SystemBC RAT، RecordBreaker و LaplasClipper در سیستم قربانیان بارگیری میکند.
کارشناسان امنیتی به مسئولین، کارشناسان و متخصصان IT توصیه میکنند برای مقابله با این نوع بدافزار، تدابیر لازم از جمله تعبیه شاخصهای معرفی شده در پایگاه اینترنتی مرکز افتا را در سامانهها و تجهیزات دفاعی انجام دهند. بدافزار LaplasClipper از کیفهای پول Bitcoin، Ethereum، Bitcoin Cash، Litecoin، Dogecoin، Monero، Ripple، ZCash، Dash، Ronin و Tron Steam Trade پشتیبانی میکند. مهاجمان سایبری بدافزار Clipper را در فرومهای زیرزمینی خرید و فروش میکنند.