Los usuarios de criptomonedas están siendo atacados con una nueva variedad de malware clipper denominada Laplas mediante otro malware conocido como SmokeLoader.
SmokeLoader, que se entrega por medio de documentos armados enviados a través de correos electrónicos de phishing dirigido, actúa además como un conducto para otros troyanos de productos básicos como SystemBC y Raccoon Stealer 2.0, según un análisis de Cible.
Observado en la naturaleza desde alrededor de 2013, cargador de humo funciona como un cargador genérico capaz de distribuir cargas útiles adicionales en sistemas comprometidos, como malware para robar información y otros implantes. En julio de 2022, se descubrió que implementaba una puerta trasera llamada Amadey.
Cyble dijo que descubrió más de 180 muestras de Laplas desde el 24 de octubre de 2022, lo que sugiere un amplio despliegue.
Los Clippers, también llamados ClipBankers, pertenecen a una categoría de malware que Microsoft llama cryware, que están diseñados para robar criptomonedas al controlar de cerca la actividad del portapapeles de la víctima e intercambiar la dirección de la billetera original, si está presente, con una dirección controlada por el atacante.
El objetivo del malware clipper como Laplas es secuestrar una transacción de moneda virtual destinada a un destinatario legítimo a la propiedad del actor de la amenaza.
«Laplas es un nuevo malware clipper que genera una dirección de billetera similar a la dirección de billetera de la víctima», señalaron los investigadores. «La víctima no notará la diferencia en la dirección, lo que aumenta significativamente las posibilidades de una actividad exitosa del cortapelos».
El malware clipper más nuevo ofrece soporte para una variedad de billeteras como Bitcoin, Ethereum, Bitcoin Cash, Litecoin, Dogecoin, Monero, Ripple, Zcash, Dash, Ronin, TRON, Cardano, Cosmos, Tezos, Qtum y Steam Trade URL. Tiene un precio de $ 59 al mes a $ 549 al año.
También viene con su propio panel web que permite a sus compradores obtener información sobre la cantidad de computadoras infectadas y las direcciones de billetera activas operadas por el adversario, además de permitir agregar nuevas direcciones de billetera.
«SmokeLoader es un malware conocido, altamente configurable y efectivo que los TA [threat actors] están renovando activamente», concluyeron los investigadores.
«Es un malware modular, lo que indica que puede obtener nuevas instrucciones de ejecución de [command-and-control] servidores y descargar malware adicional para ampliar la funcionalidad. En este caso, los TA usan tres familias de malware diferentes para obtener ganancias financieras y otros fines maliciosos».