ارز دیجیتال هاست

سرقت رمزارزها توسط Clipperها

مطالب آموزشی محسن سلیمانی صفر دیدگاه

سرقت دارایی های دیجیتالی توسط Clipper ها

Clipperها گروهی از بدافزارها می‌باشند که کاربران ارز دیجیتال را مورد هدف قرار می دهند. این گروه با قرار دادن آدرس کیف پول خود به جای آدرس کیف پول کاربر، تراکنش‌های ارز دیجیتال را مورد سرقت قرار می‌دهند. امروزه استفاده از ارز های دیجیتال در کشور ما بسیار گسترده شده است و تقریبا افراد زیادی درگیر این بازار شده اند. جدای از خطراتی مانند کاهش شدید قیمت، یک خطر بسیار بزرگ در رابطه با ارز های دیجیتال وجود دارد و آن هم سرقت آنهاست.

متاسفانه به دلیل ماهیت ارز های دیجیتال در صورت سرقت نمی توان امید زیادی به بازگشت دارایی داشت بنابراین باید نکات امنیتی را شدیدا رعایت کرد. امروز قصد داریم تا به بررسی نحوه سرقت ارز های دیجیتال توسط Clipperها بپردازیم. با ما در ایران هاستینگ 24 همراه باشید.

Clipper ها چگونه ارز های دیجیتال را مورد سرقت قرار می دهند؟

Clipper با پشتیبانی از کیف پول‌های Bitcoin، Ethereum، Bitcoin Cash، Litecoin،Dogecoin، Monero، Ripple،ZCash، Dash، Ronin و Tron Steam Trade زمانی که کاربر اطلاعاتی را در سیستم خود کپی می‌کند، این بدافزار با چک کردن محتواهای کپی شده به دنبال آدرس کیف پول ارز دیجیتال می‌باشد.

در واقع بدافزار Clipper با استفاده از مانیتورینگ Clipboard شخص مورد هدف، آدرس‌های کیف پول را جابه‌جا می‌نمایند. بدافزار Clipper با VB.NET کامپایل شده و توسط VMProtect محافظت و در فروم‌های زیرزمینی خرید و فروش می‌شود.

Laplas چیست؟

Laplas به عنوان بدافزار جدیدی از گروه Clipperها در نوامبر ۲۰۲۲ شناسایی شده است که با کمک SmokeLoader توسعه می‌یابد. با اجرای SmokeLoader کد مخربی به فرآیند explorer.exe منتقل شده و در نهایت فعالیت مخرب خود را شروع می‌نماید.

SmokeLoader هدفی جز بارگیری بدافزار در سیستم شخص مورد هدف ندارد به همین سبب در ادامه نیز چندین بدافزار دیگر را ازجمله SystemBC RAT، RecordBreaker و LaplasClipperا بارگیری می‌کند. پس از اجرای بدافزار، ماژول جدیدی به نام build.exe در Memory ارسال می‌شود که این ماژول مسئولیت اجرای فعالیت‌های بدافزار را دارد و mutex را ایجاد می‌کند تا مطمئن شود تنها یک نمونه از بدافزار در سیستم قربانی فعال است.

سپس Clipper همانطور که در تصویر زیر مشاهده می‌کنید، یک کپی از آدرس خود را در مسیر appdata ایجاد و یک Task Scheduler را با استفاده از command line برای ماندگاری خود (اجرا هر یک دقیقه برای ۴۱۶ روز) به صورت زیر اجرا می‌کند:

Clipper چیست؟
Clipper چیست؟

بعد از اجرای تسک در مرحله بعد بدافزار Clipper الگوی Regex را دانلود و فعالیت Clipboard سیستم شخص مورد هدف را بررسی و مانیتور می‌نماید. در این هنگام زمانی که کاربر سیستم مورد هدف، اطلاعاتی را کپی نماید، Clipper با استفاده از الگوی Regex دانلود شده محتوای کپی شده را به قصد پیدا کردن آدرس کیف پول ارز دیجیتال بررسی می‌کند.

پس از بررسی در صورت تشخیص هرگونه آدرس کیف پول در اطلاعات Clipboard، آدرس کیف پول هکر را از سرورهای راه دور با استفاده از توابع دانلود می‌کند.

همان‌طور که در ادامه مشاهده می‌شود، پس از دانلود آدرس کیف پول هکر از سرورهای راه دور، کلیپر آدرس را از طریق تابع Clipboard.SetText() با آدرس کیف پول شخص مورد هدف جایگزین می‌کند. با توجه به روش کار بدافزار کلیپر، آدرس کیف پول هکر به قدری با آدرس کیف پول شخص مورد هدف مشابه و همسان است که کاربر متوجه تغییر آن نخواهد شد.

ارز دیجیتال
ارز دیجیتال

داشبورد پنل تحت‌وب بدافزار Laplas_Clipper شامل وضعیت سیستم‌هایی می‌باشد که توسط آن آلوده شده‌اند و آدرس کیف پول‌های هکر را با جزئیات ارائه می‌نماید. همچنین این قابلیت برای هکر فراهم است تا بتواند آدرس کیف پول خود را در منوی کلیپر اضافه کند.

سخن پایانی

حفاظت از دارایی های دیجیتالی بسیار مهم است. امیدواریم مطالعه این مطلب کمکی به شما در این راستا کرده باشد.

ارسال دیدگاه جدید