Hamisított reputációs clipper
A Check Point Research egy összetett, többplatformos kampányt tárt fel, amelyben a támadók nemcsak egy Rust-alapú kriptovaluta clipboard hijackert terjesztenek, hanem tudatosan hamis online reputációt építenek köré. A célpontok elsősorban olyan felhasználók, akik Solana- és Pump.fun-sniper botokat, Aviator Predictor vagy más kripto- és szerencsejátékos előrejelző eszközöket keresnek.
A fertőzés egy WordPress-alapú adathalász oldalról indul, amely GitHub-, SourceForge- és YouTube-oldalakra irányítja az áldozatot, ahol mesterségesen növelt csillagok, forkok, letöltésszámok, pozitív értékelések és AI-generált videók keltik a legitim szoftver látszatát. A kutatók szerint a támadó több Ghost Network hálózatot működtet, amelyek hamis fiókokkal manipulálják a GitHub, SourceForge és még a VirusTotal közösségi értékeléseit is, ahol egyes malware-minták safe megjegyzéseket és pozitív szavazatokat kaptak, csökkentve a gyanút.
A Windows-verzió egy .NET betöltőn keresztül telepíti a Rustban írt clippert, míg macOS-en egy Gatekeeper megkerülésére szolgáló unlocker szkript után települ, a malware perzisztenciát alakít ki, folyamatosan figyeli a vágólapot, és amikor kriptotárca-címet észlel, azt automatikusan egy több mint 15 500 támadói tárcacímet tartalmazó beágyazott listából kiválasztott címre cseréli. A Check Point szerint a támadói tárcákon már több sikeres tranzakció nyomai is megtalálhatók.
A támadók ma már nemcsak malware-t, hanem bizalmat is építenek, a GitHub-csillagok, letöltési statisztikák, YouTube-nézettség, VirusTotal-kommentek és legitim híroldalakon megjelenő promóciók a social engineering szerves részévé váltak. Ez a hamis reputációs ökoszisztéma a jövőben nemcsak clipper malware-ek, hanem információlopók vagy ransomware-ek terjesztésére is könnyen felhasználható.
