MistTrack нещодавно виявив нову загрозу в криптопросторі, яка краде кошти з гаманців користувачів у вигляді експлойту викрадення, виявленого в драйвері принтера.
У нещодавньому пості кібербезпекова гілка SlowMist підняла питання про досить нову, але важко виявляєму загрозу, що входить у криптопростір. Через встановлений драйвер принтера зловмисна програма-задня двері може перехопити буфер обміну користувачів і замінити їх скопійовану адресу криптовалютного гаманця на адресу атакуючого.
"Офіційний драйвер, наданий цим принтером, містить програму з бекдором. Вона перехоплює адресу гаманця в буфері обміну користувача та замінює її на адресу зловмисника", - написала платформа кібербезпеки web3.
Згідно з даними блокчейну від MistTrack, злочинець вкрали щонайменше 9.3086 Біткоїна (BTC) з десятків адрес в блокчейні. Відповідно до поточних цін, вкрадені кошти становлять майже 1 мільйон доларів або близько $989,383.
Адреса криптогаману була активною з 22 квітня 2016 року. Перед його нещодавніми активностями остання виявлена транзакція в блокчейні була 14 березня 2024 року і пов'язана з кількома криптобіржами.
Як працює експлойт?
Випадки прихованих експлуатацій шкідливого програмного забезпечення, такі як той, що був підкреслений MistTrack, виникають внаслідок розповсюдження зловмисного коду зловмисниками через програми, які потрібно встановити на апаратне забезпечення користувача, таке як ноутбук, комп'ютер або мобільний пристрій. У цьому випадку зловмисник вставив програму з бекдором через драйвер принтера, який виглядає легітимним.
Після встановлення драйвер моніторить буфер обміну користувача — тимчасову область зберігання, де зберігаються скопійовані дані — в пошуках адрес криптовалютних гаманців. Якщо користувач копіює те, що виглядає як адреса крипто-гаманця для відправки коштів, шкідливе програмне забезпечення замість цього замінює її адресою крипто-гаманця нападника.
Коли користувач вставляє те, що вважає оригінальною адресою крипто-гаманця з буфера обміну і не помічає змінену адресу, кошти надсилаються на гаманець атакуючого замість запланованого отримувача.
Схожий експлойт був висвітлений компанією CyberArk у березні 2025 року, який стосувався шкідливого ПЗ під назвою MassJacker. Це шкідливе ПЗ дозволяло зловмиснику отримати доступ до буфера обміну користувача, щоб змінити оригінальну адресу криптовалютного гаманця та перенаправити криптовалютні транзакції на гаманці, контрольовані зловмисником, ефективно крадучи кошти з гаманця жертви.
На відміну від експлуатації драйвера принтера, MassJacker використовував більше 750 000 унікальних адрес замість повторювальної. Шкідливе програмне забезпечення змогло проникнути в апаратуру користувача через піратське та зламане програмне забезпечення, завантажене з неофіційних веб-сайтів.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Використання принтера виявляє нову загрозу для криптовалютних гаманців
MistTrack нещодавно виявив нову загрозу в криптопросторі, яка краде кошти з гаманців користувачів у вигляді експлойту викрадення, виявленого в драйвері принтера.
У нещодавньому пості кібербезпекова гілка SlowMist підняла питання про досить нову, але важко виявляєму загрозу, що входить у криптопростір. Через встановлений драйвер принтера зловмисна програма-задня двері може перехопити буфер обміну користувачів і замінити їх скопійовану адресу криптовалютного гаманця на адресу атакуючого.
"Офіційний драйвер, наданий цим принтером, містить програму з бекдором. Вона перехоплює адресу гаманця в буфері обміну користувача та замінює її на адресу зловмисника", - написала платформа кібербезпеки web3.
Згідно з даними блокчейну від MistTrack, злочинець вкрали щонайменше 9.3086 Біткоїна (BTC) з десятків адрес в блокчейні. Відповідно до поточних цін, вкрадені кошти становлять майже 1 мільйон доларів або близько $989,383.
Адреса криптогаману була активною з 22 квітня 2016 року. Перед його нещодавніми активностями остання виявлена транзакція в блокчейні була 14 березня 2024 року і пов'язана з кількома криптобіржами.
Як працює експлойт?
Випадки прихованих експлуатацій шкідливого програмного забезпечення, такі як той, що був підкреслений MistTrack, виникають внаслідок розповсюдження зловмисного коду зловмисниками через програми, які потрібно встановити на апаратне забезпечення користувача, таке як ноутбук, комп'ютер або мобільний пристрій. У цьому випадку зловмисник вставив програму з бекдором через драйвер принтера, який виглядає легітимним.
Після встановлення драйвер моніторить буфер обміну користувача — тимчасову область зберігання, де зберігаються скопійовані дані — в пошуках адрес криптовалютних гаманців. Якщо користувач копіює те, що виглядає як адреса крипто-гаманця для відправки коштів, шкідливе програмне забезпечення замість цього замінює її адресою крипто-гаманця нападника.
Коли користувач вставляє те, що вважає оригінальною адресою крипто-гаманця з буфера обміну і не помічає змінену адресу, кошти надсилаються на гаманець атакуючого замість запланованого отримувача.
Схожий експлойт був висвітлений компанією CyberArk у березні 2025 року, який стосувався шкідливого ПЗ під назвою MassJacker. Це шкідливе ПЗ дозволяло зловмиснику отримати доступ до буфера обміну користувача, щоб змінити оригінальну адресу криптовалютного гаманця та перенаправити криптовалютні транзакції на гаманці, контрольовані зловмисником, ефективно крадучи кошти з гаманця жертви.
На відміну від експлуатації драйвера принтера, MassJacker використовував більше 750 000 унікальних адрес замість повторювальної. Шкідливе програмне забезпечення змогло проникнути в апаратуру користувача через піратське та зламане програмне забезпечення, завантажене з неофіційних веб-сайтів.