Professor
Professional
- Messages
- 213
- Reaction score
- 22
- Points
- 18
Что такое клиппер?
Клиппер - вредоносная программа, зачастую используется для замены криптоадресов в буфере обмена на поддельные адреса, чтобы жертва во время отправки монет производила перевод на наш адрес, вместо своего.
Как устроен
Это максимально простой зловред. Получение и подмена искомого текста может быть реализована через библиотеку, которая работает с winapi на любом языке, хоть питон, хоть С++
Как происходит проверка соответствия?
Другими словами, как же нам определить, что этот текст из буфера является условно адресом BTC и нам нужно его заменить? На помощь приходят регулярные выражения (regex).
Регулярные выражения - формальный язык используемый для работы с текстом. С помощью него можно определить соответствует ли текст заданным критериям, например длине, равной 46 символов - это называется паттерном или по простому: шаблоном.
Паттерны можно найти в открытом доступе, просто введите запрос bitcoin address regex в поисковую строку
Первый попавшийся пост на stackoverflow:
^[13][a-km-zA-HJ-NP-Z1-9]{25,34}$
Подробнее о регексе и как это работает можно узнать здесь https://habr.com/ru/articles/545150/
В предыдущих лекциях по вредоносам я уже упоминала клиппер. Итак, более простым языком:
Мы заходим в наш криптокошелек, копируем btc адрес, заходим в чат телеграм или пишем что-то на форуме, вставляем наш кошелек и производится подмена кошелька на кош злоумышленника. Тоже самое работает и в обратную сторону, когда нам отправляют кошелек, мы его копируем, заходим в криптокошелек, вставляем скопированный текст и производится подмена.
Как по максимуму мы можем выжать все из зараженного пользователя?
Если говорить о сложном функционале клиппера, помимо криптоподмены, как пример, мы можем подменять все ссылки на сайты и товары.
Допустим, я создала фишинг по сайту амазон. Пусть адресом моего фиша будет URL: amzaon.com, вместо оригинала amazon.com. Спарсив хотя бы 30% товаров, более интересных для меня по сумме, например, я делаю ссылки.
Чтобы моя подмена сработала, пользователь должен отправить оригинальную ссылку на товар: https://www.amazon.com/Dowinx-Cushi..._r=NJGWDRNDWNNNMYZ5A18P&qid=1695138140&sr=8-2
В которой обязательные слова: amazon.com/Dowinx-Cushion-Ergonomic-Computer-Reclining/dp/B09Y8W11G6
Тем самым, скопировав ориг ссылку из диалога с кем-либо пользователь в поиск вставляет ссылку с подменой оригинального домена на мой. Если пользователь сразу пойдет на оплату товара, то мы получим данные его карты и, возможно, OTP код.
Клиппер - вредоносная программа, зачастую используется для замены криптоадресов в буфере обмена на поддельные адреса, чтобы жертва во время отправки монет производила перевод на наш адрес, вместо своего.
Как устроен
Это максимально простой зловред. Получение и подмена искомого текста может быть реализована через библиотеку, которая работает с winapi на любом языке, хоть питон, хоть С++
Как происходит проверка соответствия?
Другими словами, как же нам определить, что этот текст из буфера является условно адресом BTC и нам нужно его заменить? На помощь приходят регулярные выражения (regex).
Регулярные выражения - формальный язык используемый для работы с текстом. С помощью него можно определить соответствует ли текст заданным критериям, например длине, равной 46 символов - это называется паттерном или по простому: шаблоном.
Паттерны можно найти в открытом доступе, просто введите запрос bitcoin address regex в поисковую строку
Первый попавшийся пост на stackoverflow:
^[13][a-km-zA-HJ-NP-Z1-9]{25,34}$
Подробнее о регексе и как это работает можно узнать здесь https://habr.com/ru/articles/545150/
В предыдущих лекциях по вредоносам я уже упоминала клиппер. Итак, более простым языком:
Мы заходим в наш криптокошелек, копируем btc адрес, заходим в чат телеграм или пишем что-то на форуме, вставляем наш кошелек и производится подмена кошелька на кош злоумышленника. Тоже самое работает и в обратную сторону, когда нам отправляют кошелек, мы его копируем, заходим в криптокошелек, вставляем скопированный текст и производится подмена.
Как по максимуму мы можем выжать все из зараженного пользователя?
Если говорить о сложном функционале клиппера, помимо криптоподмены, как пример, мы можем подменять все ссылки на сайты и товары.
Допустим, я создала фишинг по сайту амазон. Пусть адресом моего фиша будет URL: amzaon.com, вместо оригинала amazon.com. Спарсив хотя бы 30% товаров, более интересных для меня по сумме, например, я делаю ссылки.
Чтобы моя подмена сработала, пользователь должен отправить оригинальную ссылку на товар: https://www.amazon.com/Dowinx-Cushi..._r=NJGWDRNDWNNNMYZ5A18P&qid=1695138140&sr=8-2
В которой обязательные слова: amazon.com/Dowinx-Cushion-Ergonomic-Computer-Reclining/dp/B09Y8W11G6
Тем самым, скопировав ориг ссылку из диалога с кем-либо пользователь в поиск вставляет ссылку с подменой оригинального домена на мой. Если пользователь сразу пойдет на оплату товара, то мы получим данные его карты и, возможно, OTP код.
