Cyberthreat.id – Analis keamanan dari Cyble mengungkapkan bahwa saat ini pengguna kriptokurensi sedang ditargetkan dengan jenis malware clipper baru yang dijuluki Laplas melalui malware lain yang dikenal sebagai SmokeLoader.

SmokeLoader, yang dikirimkan melalui dokumen senjata yang dikirim melalui email spear-phishing, selanjutnya bertindak sebagai saluran untuk trojan komoditas lain seperti SystemBC dan Raccoon Stealer 2.0, menurut analisis dari Cyble.

Dikutip dari The Hacker News, peneliti mulai mengakmai malware ini sejak sekitar tahun 2013, SmokeLoader berfungsi sebagai pemuat umum yang mampu mendistribusikan muatan tambahan ke sistem yang disusupi, seperti malware pencuri informasi dan implan lainnya. Pada Juli 2022, ditemukan untuk menyebarkan pintu belakang yang disebut Amadey.

“Kami telah menemukan lebih dari 180 sampel Laplas sejak 24 Oktober 2022, menunjukkan penyebaran yang luas,” ungkap Analis dari Cyble.

Clippers, yang juga disebut ClipBankers, termasuk dalam kategori malware yang disebut Microsoft sebagai cryware, yang dirancang untuk mencuri kripto dengan mengawasi aktivitas clipboard korban dan menukar alamat wallet virtual asli, jika ada, dengan alamat yang dikendalikan penyerang. Tujuan malware clipper seperti Laplas adalah untuk membajak transaksi mata uang virtual yang ditujukan untuk penerima yang sah dengan yang dimiliki oleh pelaku ancaman.

"Laplas adalah malware clipper baru yang menghasilkan alamat dompet yang mirip dengan alamat dompet korban, korban tidak akan melihat perbedaan alamat, yang secara signifikan meningkatkan kemungkinan aktivitas clipper yang sukses,” kata analis tersebut.

Malware clipper terbaru menawarkan dukungan untuk berbagai dompet seperti Bitcoin, Ethereum, Bitcoin Cash, Litecoin, Dogecoin, Monero, Ripple, Zcash, Dash, Ronin, TRON, Cardano, Cosmos, Tezos, Qtum, dan Steam Trade URL. Harganya mulai dari $59 per bulan hingga $549 per tahun.

Malware ini juga dilengkapi dengan panel webnya sendiri yang memungkinkan pembelinya mendapatkan informasi tentang jumlah komputer yang terinfeksi dan alamat dompet aktif yang dioperasikan oleh musuh, selain memungkinkan untuk menambahkan alamat dompet baru.

“SmokeLoader adalah malware yang terkenal, sangat dapat dikonfigurasi, dan efektif yang secara aktif direnovasi oleh pelaku ancaman,” para peneliti menyimpulkan.

Bisa dikatakan, ini adalah malware modular, yang menunjukkan bahwa ia bisa mendapatkan instruksi eksekusi baru dari server (command-and-control) dan mengunduh malware tambahan untuk fungsionalitas yang diperluas. Dalam kasus ini, pelaku ancaman menggunakan tiga kelompok malware berbeda untuk keuntungan finansial dan tujuan jahat lainnya.