通过SmokeLoader针对加密货币用户的新Laplas Clipper恶意软件

加密货币用户正被一种新的clipper恶意软件攻击拉普拉斯通过另一个名为SmokeLoader的恶意软件。

根据Cyble的一项分析，SmokeLoader通过矛式网络钓鱼电子邮件发送的武器化文件来提供，它进一步充当了SystemBC和Raccoon Steiler 2.0等其他商品木马的管道。

自2013年左右在野外观察到，SmokeLoader作为一种通用加载器，能够将额外的有效载荷分发到受损系统上，例如窃取信息的恶意软件和其他植入物。2022年7月，它被发现部署了一个名为Amadey的后门。

Cyble表示，自2022年10月24日以来，他们发现了180多个拉普拉人的样本，这表明他们正在进行广泛的部署。

Clippers也被称为ClipBankers，属于微软称之为cryware的恶意软件类别，其目的是通过密切关注受害者的剪贴板活动，并将原始钱包地址（如果存在）与攻击者控制的地址进行交换，来窃取密码。

像Laplas这样的clipper恶意软件的目标是劫持一笔虚拟货币交易，该交易旨在让合法接收者使用威胁行为人拥有的钱包。

研究人员指出：“Laplas是一种新的clipper恶意软件，它生成的钱包地址与受害者的钱包地址相似”。“受害者不会注意到地址的差异，这显著增加了快船活动成功的机会”。

最新的clipper恶意软件支持多种钱包，如比特币、以太坊、比特币现金、莱特币、Dogecoin、Monero、Ripple、Zcash、Dash、Ronin、TRON、Cardano、Cosmos、Tezos、Qtum和Steam Trade URL。它的价格从每月59美元到每年549美元。

它还配备了自己的网络面板，除了允许添加新的钱包地址外，它还可以让购买者获取有关受感染计算机数量和对手操作的活动钱包地址的信息。

研究人员总结道：“SmokeLoader是一种众所周知的、高度可配置的、有效的恶意软件，TA（威胁行为者）正在积极修复”。

“这是一个模块化的恶意软件，表明它可以从[命令和控制]服务器获取新的执行指令，并下载其他恶意软件以扩展功能。在这种情况下，TA使用三种不同的恶意软件家族来获取经济利益和其他恶意目的”。