پلتفرم MistTrack اخیراً تهدید جدیدی در فضای رمزارزها را افشا کرد که از طریق یک اکسپلویت در درایور چاپگر وجوه کاربران را به سرقت میبرد. بخش امنیت سایبری شرکت SlowMist در پستی تازه نسبت به این تهدید نسبتاً جدید و دشوار برای شناسایی هشدار داد.
با نصب درایور چاپگر مخرب، یک برنامه پشتی (backdoor) قادر است کلیپبورد کاربر را بهرباییده و آدرس کیف پول رمزارز کپیشده را با آدرس مهاجم جایگزین کند. «درایور رسمی ارائهشده توسط این چاپگر حاوی برنامه پشتی است. این برنامه آدرس کیف پول در کلیپبورد کاربر را ربوده و با آدرس مهاجم جایگزین میکند»، نوشته پلتفرم امنیت سایبری وب۳.
بر اساس دادههای زنجیرهای MistTrack، مهاجم دستکم ۹.۳۰۸۶ بیت کوین (BTC) از دهها آدرس مختلف به سرقت برده است. با توجه به قیمتهای فعلی، ارزش این وجوه تقریباً یک میلیون دلار (حدود ۹۸۹٬۳۸۳ دلار) است. آدرس کیف پول مهاجم از ۲۲ آوریل ۲۰۱۶ فعال بوده و پیش از این در مارس ۱۴، ۲۰۲۴ آخرین تراکنش آن شناسایی شده است. این آدرس با چندین صرافی رمزارزی ارتباط دارد.
موارد اکسپلویتهای مخفی بدافزاری مانند این مثال، معمولاً با توزیع کد مخرب از طریق برنامههایی رخ میدهد که باید روی سختافزار کاربر از جمله لپتاپ، کامپیوتر یا موبایل نصب شوند. در این حمله، مهاجم برنامه پشتی را در پوشش یک درایور چاپگر قانونی پنهان کرده است.
پس از نصب درایور، این برنامه کلیپبورد—which محل موقت ذخیره دادههای کپیشده است—را زیر نظر میگیرد تا آدرسهای کیف پول رمزارز را شناسایی کند. اگر کاربر آدرسی را کپی کند و قصد ارسال رمزارز داشته باشد، بدافزار آن را با آدرس کیف پول مهاجم جایگزین میکند. کاربر بدون توجه به تغییر آدرس، وجوه را به کیف مهاجم ارسال میکند.
حملهای مشابه در مارس ۲۰۲۵ توسط شرکت CyberArk با بدافزاری به نام MassJacker گزارش شد. آن بدافزار نیز کلیپبورد کاربران را ربوده و آدرس کیف پول را تغییر میداد تا تراکنشها به کیفهای تحت کنترل مهاجم هدایت شوند و وجوه کاربران سرقت شود. بر خلاف این اکسپلویت چاپگر، MassJacker از بیش از ۷۵۰٬۰۰۰ آدرس منحصربهفرد استفاده میکرد و از طریق نرمافزارهای کرکشده و غیررسمی منتشر شده در وبسایتهای غیرمعتبر وارد سختافزار کاربران میشد.