Хакеры продвигают криптоклиппер через GitHub и VirusTotal
2 мин
17
Пользователи криптовалют на Windows и macOS становятся жертвами новой вредоносной кампании с распространением клиппера. Программу, которая подменяет адрес криптокошелька в буфере обмена, распространяет злоумышленник под псевдонимом @JoseCmanXD. Как пояснили выявившие кампанию специалисты Check Point, если пользователь не проверяет адрес перед отправкой, деньги уходят атакующему. В коде вредоноса имеются 15 500 кошельков злоумышленника.
Жертв привлекают через фиктивные утилиты: боты для торговли токенами Solana, программы-предсказатели исходов «краш-игр» и похожие инструменты для быстрого заработка. Чтобы они выглядели надёжными, атакующий создал сеть поддельных аккаунтов на нескольких платформах. На GitHub связанные аккаунты накрутили репозиториям более 140 звёзд, число скачиваний перевалило за 5 000. На SourceForge счётчик загрузок подняли до 44 000. На YouTube выходили обучающие ролики с озвучкой нейросетью, накрученными просмотрами и заранее подготовленными положительными комментариями.
Параллельно атакующий использует VirusTotal. Через фиктивные аккаунты он оставляет положительные оценки и комментарии, что файлы безопасны. Часть антивирусов не определяла вредонос, и это усиливало ложное впечатление о чистоте файлов. Дополнительно 27 апреля в ряде новостных изданий вышли рекламные материалы о фиктивных утилитах, а на криптофоруме BitcoinTalk появились тематические посты.
Вредонос написан на Rust. На Windows жертва скачивает ZIP-архив, где модуль SniperBot_Premium(Free).exe запускает основной файл silkebin.exe. На macOS скрипт unlocker.command обходит защиту Gatekeeper, после чего вредонос запускается. Дальше программа работает в фоне, следит за буфером обмена и при обнаружении адреса кошелька подменяет его на один из зашитых адресов.
Аналитики называют манипуляции с репутацией на платформах вроде VirusTotal новым инструментом в арсенале атакующих. Вместо классического распространения вредоносов они работают с доверием пользователей, чтобы снизить подозрения и расширить охват.
