Người dùng tiền điện tử đang bị nhắm mục tiêu với một chủng phần mềm độc hại clipper mới được đặt tên làLaplasbằng một phần mềm độc hại khác được gọi là SmokeLoader.
SmokeLoader, được cung cấp bằng các tài liệu vũ khí hóa được gửi qua email lừa đảo, tiếp tục hoạt động như một đường dẫn cho các trojan hàng hóa khácnhư SystemBC và Raccoon Stealer 2.0, theo một phân tích từ Cyble.
Được quan sát trong tự nhiên kể từ khoảng năm 2013, SmokeLoader hoạt động như một bộ tải chung có khả năng phân phối tải trọng bổ sung lên các hệ thống bị xâm phạm, chẳng hạn như phần mềm độc hại đánh cắp thông tin và các thiết bị cấy ghép khác. Vào tháng 6 năm 2022, nó đã được tìm thấy để triển khai một cửa hậu có tên là Amadey.
Cyble cho biết họ đã phát hiện ra hơn 180 mẫu Laplas kể từ ngày 24 tháng 10 năm 2022, cho thấy một sự triển khai rộng rãi.
Clippers, còn được gọi là ClipBankers, thuộc một loại phần mềm độc hại mà Microsoft gọi là cryware, được thiết kế để đánh cắp tiền điện tử bằng cách theo dõi chặt chẽ hoạt động khay nhớ tạm của nạn nhân và hoán đổi địa chỉ ví ban đầu, nếu có, với địa chỉ do kẻ tấn công kiểm soát.
Mục tiêu của phần mềm độc hại clipper như Laplas là chiếm đoạt một giao dịch tiền ảo dành cho người nhận hợp pháp thuộc sở hữu của tác nhân đe dọa.
"Laplas là phần mềm độc hại clipper mới tạo ra một địa chỉ ví tương tự như địa chỉ ví của nạn nhân", các nhà nghiên cứu chỉ ra. "Nạn nhân sẽ không nhận thấy sự khác biệt trong địa chỉ, điều này làm tăng đáng kể cơ hội hoạt động clipper thành công."
Phần mềm độc hại clipper mới nhất cung cấp hỗ trợ cho nhiều loại ví khác nhau như Bitcoin, Ethereum, Bitcoin Cash, Litecoin, Dogecoin, Monero, Ripple, Zcash, Dash, Ronin, TRON, Cardano, Cosmos, Tezos, Qtum và Steam Trade URL. Nó có giá từ $ 59 một tháng đến $ 549 một năm.
Nó cũng đi kèm với bảng điều khiển web riêng cho phép người mua lấy thông tin về số lượng máy tính bị nhiễm và địa chỉ ví đang hoạt động do đối thủ vận hành, ngoài việc cho phép thêm địa chỉ ví mới.
"SmokeLoader là một phần mềm độc hại nổi tiếng, có cấu hình cao, hiệu quả mà TAs [tác nhân đe dọa] đang tích cực cải tạo," các nhà nghiên cứu kết luận.
"Nó là một phần mềm độc hại mô-đun, cho thấy nó có thể nhận được các hướng dẫn thực thi mới từ các máy chủ [lệnh và điều khiển] và tải xuống phần mềm độc hại bổ sung cho chức năng mở rộng. Trong trường hợp này, các TA sử dụng ba họ phần mềm độc hại khác nhau để thu lợi tài chính và các mục đích độc hại khác".