يتم استخدام أدوات التثبيت في أحصنة طروادة لمتصفح إخفاء الهوية TOR لاستهداف المستخدمين في روسيا وأوروبا الشرقية باستخدام برامج ضارة مقصية مصممة لسرقة العملات المشفرة منذ سبتمبر 2022.
"حاقنات الحافظة [...] يمكن أن تظل صامتة لسنوات ، ولا تظهر أي نشاط للشبكة أو أي علامات أخرى للوجود حتى اليوم الكارثي عندما تحل محل عنوان محفظة التشفير" ، فيتالي كاملوك ، مدير فريق البحث والتحليل العالمي (GReAT) ل APAC في كاسبيرسكي ، قال .
جانب آخر ملحوظ من البرامج الضارة لـ Clipper هو أن وظائفها الشائنة لا يتم تشغيلها إلا إذا كانت بيانات الحافظة تفي بمعايير محددة ، مما يجعلها أكثر مراوغة.
ليس من الواضح على الفور كيفية توزيع أدوات التثبيت ، ولكن تشير الأدلة إلى استخدام تنزيلات التورنت أو مصدر غير معروف لجهة خارجية منذ أن تعرض موقع Tor Project على الويب لحظر في روسيا في السنوات الأخيرة.
بغض النظر عن الطريقة المستخدمة ، يقوم المثبت بتشغيل الملف القابل للتنفيذ الشرعي ، بينما يقوم أيضًا بتشغيل حمولة المقص المصممة لمراقبة محتوى الحافظة في نفس الوقت.
وأشار كاملوك إلى أنه "إذا كانت الحافظة تحتوي على نص ، فإنها تقوم بمسح المحتويات بمجموعة من التعبيرات العادية المضمنة". "في حالة العثور على تطابق ، يتم استبداله بعنوان واحد تم اختياره عشوائيًا من قائمة مضمنة."
كل عينة مليئة بالآلاف من عناوين الاستبدال الممكنة التي تم اختيارها عشوائيًا. يأتي أيضًا مع القدرة على تعطيل البرامج الضارة عن طريق مجموعة مفاتيح اختصار خاصة (Ctrl + Alt + F10) ، وهو خيار يُحتمل إضافته أثناء مرحلة الاختبار.
قالت شركة الأمن السيبراني الروسية إنها سجلت ما يقرب من 16000 عملية رصد ، معظمها مسجل في روسيا وأوكرانيا ، تليها الولايات المتحدة وألمانيا وأوزبكستان وبيلاروسيا والصين وهولندا والمملكة المتحدة وفرنسا. بشكل عام ، تم رصد التهديد في 52 دولة حول العالم.
يُقدر أن المخطط قد حقق للمشغلين ما يقرب من 400،00 دولار من الأرباح غير المشروعة من خلال سرقة Bitcoin و Litecoin و Ether و Dogecoin. لا يُعرف مقدار أصول Monero المنهوبة بسبب ميزات الخصوصية المضمنة في الخدمة.
يُشتبه في أن الحملة قد تكون أكبر في نطاقها نظرًا لاحتمال قيام الجهات الفاعلة بالتهديد بالاستفادة من مثبتات البرامج الأخرى وطرق التسليم غير المرئية حتى الآن لاستهداف المستخدمين غير الحذرين.
للحماية من مثل هذه التهديدات ، يوصى دائمًا بتنزيل البرامج فقط من مصادر موثوقة وموثوق بها.