I ricercatori di Cyble hanno scoperto un “clipboard stealer”, denominato Laplas Clipper, che può intercettare l’indirizzo dei wallet e quindi inviare le criptovalute ai cybercriminali. Solitamente questa funzionalità è inclusa nei cosiddetti info-stealer, ma il nuovo malware viene offerto nel dark web come tool separato attraverso un abbonamento annuale. Questo tipo di minaccia informatica viene fortunatamente rilevata e bloccata dalle principali soluzioni di sicurezza sul mercato.
Laplas Clipper: clipboard stealer in abbonamento
I ricercatori di Cyble hanno individuato una nuova campagna malware che sfrutta il noto SmokeLoader, distribuito principalmente tramite allegati email (documenti Word o PDF). Il loader scarica altri payload, tra cui SystemBC (RAT), Raccoon Stealer 2.0 (info-stealer) e appunto Laplas Clipper, un clipboard stealer venduto in abbonamento a prezzi variabili (fino a 549 dollari/anno).
Solitamente, il furto delle criptovalute è una delle funzionalità offerte dagli info-stealer. Laplas Clipper è invece un tool distinto che monitora in tempo reale gli appunti di Windows per rilevare l’indirizzo di un wallet. In pratica, quando l’utente effettua un “copia e incolla”, il suo indirizzo viene sostituito con quello dei cybercriminali.
Una delle peculiarità di Laplas Clipper è la generazione automatica di indirizzi simili a quelli originali, in modo che gli utenti non si accorgano della modifica. Il malware può creare indirizzi per Bitcoin, Bitcoin Cash, Litecoin, Ethereum, Dogecoin, Monero, Algorand, Ravecoin, Ripple, Zcash, Dash, Ronin, Tron, Tezos, Solana, Cardano, Cosmos, Qtum e Steam Trade.
Per evitare rischi è sempre consigliata l’installazione di una soluzione di sicurezza che rileva e blocca le email di phishing.