Криптоклиппер Diamotrix: вредоносная программа, подменяющая адреса кошельков в буфере обмена

information security

С середины 2024 года в киберпространстве действует новый вид вредоносного программного обеспечения, нацеленный на пользователей криптовалют. Речь идёт о Diamotrix - специализированном клиппере (вредоносе, перехватывающем данные из буфера обмена), который заменяет скопированный адрес криптокошелька на адрес, контролируемый атакующими. За год существования эта угроза успела обрасти разветвлённой инфраструктурой и тесно переплестись с другими семействами вредоносных программ, что делает её особенно опасной для держателей цифровых активов.

Описание

Diamotrix относится к классу Crypto Clipper - программ, которые в реальном времени отслеживают содержимое буфера обмена. Как только пользователь копирует адрес криптовалютного кошелька (например, Bitcoin, Ethereum, Tron, Litecoin или Dogecoin), вредонос мгновенно заменяет его на собственный. Поскольку жертва обычно вставляет адрес в платёжную форму, не проверяя каждый символ, средства уходят злоумышленнику. Механизм прост, но крайне эффективен: согласно анализу, все изученные кошельки, используемые Diamotrix, оставались активными в течение последних месяцев.

Вредонос распространяется преимущественно в составе многокомпонентных атак. Он редко действует в одиночку - обычно его доставляют другие загрузчики (loaders) или стилеры (stealers). Типичные векторы заражения - фишинговые письма, взломанные установщики программ, "кряки" и ссылки, маскирующиеся под обновления. В цепочке исполнения Diamotrix нередко оказывается финальным звеном после таких вредоносов, как SVCStealer, Lumma, Rhadamanthys, Amadey, RedLine, TinyLoader и StealC. Исследователи отмечают, что найти образец Diamotrix без сопровождения другой вредоносной программы практически невозможно - это всегда часть пакета.

Технически Diamotrix представляет собой 64-битное приложение на языке C++ размером от 100 до 300 килобайт. Специалисты по информационной безопасности обнаружили, что на первом этапе вредонос повышает свои привилегии с помощью флага SeDebugPrivilege, затем создаёт мьютекс, чтобы избежать повторного заражения, и устанавливает постоянство (persistence) через запись в реестр по пути Software\Microsoft\Windows\CurrentVersion\Run. Копия бинарного файла сохраняется в скрытую папку, обычно с именем вроде "services". После этого Diamotrix внедряет свой код в процесс explorer.exe, используя технику рефлексивной DLL-инъекции (reflective DLL injection). Вместо вызова LoadLibrary вредонос самостоятельно записывает образ переносимого исполняемого файла (PE) в память целевого процесса и запускает удалённый поток через API CreateRemoteThread. Загрузчик внутри explorer.exe восстанавливает PE-образ, разрешает импорты и запускает основную логику.

Основной цикл работает в бесконечном цикле внутри отдельного потока. На каждом шаге вредонос открывает буфер обмена, получает указатель на данные и проверяет, является ли текст адресом криптокошелька. Для распознавания используются регулярные выражения (regex) для шести типов блокчейнов: Bitcoin (начинается с 1, 3 или bc1), Ethereum (0x + 40 шестнадцатеричных символов), Tron (T + 33 символа), Litecoin (L/M или ltc1), Dogecoin (D + 32-34 символа). Если совпадение найдено, в дело вступает алгоритм выбора замены из заранее заданного списка кошельков. Примечательно, что для сравнения нескольких возможных адресов одного блокчейна применяется расстояние Левенштейна - метрика, оценивающая "похожесть" строк. Это помогает злоумышленникам выбрать наиболее подходящий адрес, чтобы транзакция выглядела естественно. После выбора вредонос перезаписывает содержимое буфера обмена за миллисекунды.

Стоит отметить тесную связь Diamotrix с SVCStealer - информационным похитителем, также появившимся в конце 2024 года. SVC собирает данные браузеров, файлы криптокошельков, сведения о системе, делает скриншот экрана и упаковывает всё в ZIP-архив. Архив отправляется на сервер управления (C2) через PHP-скрипты, такие как get.php, post.php, data.php и login.php. Эти же скрипты часто используются и для Diamotrix. Инфраструктура двух семейств переплетается настолько плотно, что многие средства обнаружения ошибочно считают их одним и тем же вредоносом. Исследователи выявили десятки IP-адресов и доменов (включая diamotrix.club, diamotrix.online), которые одновременно обслуживают оба вредоноса, а также другие семейства - Pony, StealC, Tiny. Такая картина характерна для модели Malware-as-a-Service (MaaS, вредоносное ПО как услуга), где один оператор предоставляет инфраструктуру и панели управления, а другие злоумышленники арендуют их для своих кампаний.

Последствия деятельности Diamotrix напрямую связаны с финансовыми потерями. Каждая успешная подмена адреса лишает жертву возможности отозвать транзакцию - криптовалютные переводы необратимы. Учитывая, что вредонос работает скрытно, не создавая новых процессов (весь код выполняется внутри explorer.exe), пользователь может долго не подозревать об утечке средств. Кроме того, общая инфраструктура с SVCStealer означает, что злоумышленники одновременно крадут и конфиденциальные данные, что повышает риск дальнейшего мошенничества.

Что делать специалистам по безопасности и обычным пользователям? В первую очередь стоит помнить: перехват буфера обмена - одна из старейших угроз, но до сих пор эффективная. Рекомендуется всегда вручную сверять первые и последние символы адреса кошелька перед отправкой транзакции. Корпоративным средам стоит блокировать доступ к типовым PHP-эндпоинтам на C2-серверах и внедрять политики запрета на выполнение скриптов из папок ProgramData. Антивирусные решения должны обращать внимание на попытки инжекции в explorer.exe и использование рефлексивной загрузки DLL. Самый надёжный способ - использовать аппаратные кошельки с собственным дисплеем, где адрес транзакции отображается независимо от операционной системы.

Diamotrix - яркий пример того, как относительно простая вредоносная функция, будучи встроенной в экосистему MaaS, превращается в серьёзную угрозу для всех, кто работает с криптовалютами. Пока пользователи копируют адреса без проверки, такие клипперы продолжат приносить прибыль злоумышленникам. Игнорировать эту угрозу больше нельзя.

Индикаторы компрометации

URLs

  • 158.94.208.102/diamo/login.php
  • 176.46.152.46/diamo/login.php
  • 176.46.152.47/diamo/login.php
  • 176.46.157.64/ioc/data.php
  • 176.46.157.65/diamo/post.php
  • 178.16.53.7/diamo/login.php
  • 185.156.72.8/diamo/login.php
  • 185.156.72.89/nzcwzue/login.php
  • 185.81.68.156/diamo/login.php
  • 194.38.21.76/diamo/post.php
  • 196.251.107.23/diamo/data.php
  • 196.251.107.61/diamo/login.php
  • 62.60.226.159/xopbixc/data.php
  • 62.60.226.159/zbuyowgn/login.php
  • 62.60.226.166/diamo/post.php
  • 77.90.153.62/diamo/login.php
  • 85.208.84.41/diamo/login.php
  • diamotrix.club/diamo/login.php
  • diamotrix.world/diamo/post.php

SHA256

  • 01f303cb85989ef20126e3f30e8d1509ab498c1950ecddd1a9e0f6d7f04183ac
  • 10c05f9e11a9f5f3262e0d80e744fcf6fe3a1d0f59e76da0149b228de392f1f5
  • 1fb1ab4e3fd05fb92c7bf995874116caaf8c6522043f96e7819ca46040e29d65
  • 539820d48e7c88cc5c21e2ed88b6f13943f0a0235bf01018055e222839ab90c7
  • 6ac38594d51647d07dcaaa9a6b6bde035143ec8fbc6505ed1da9370452d7d9f0
  • 6ee280efcad12a54fe6ab0dcf5db5f3b18658a9bce5c039cf0e1751804f5e617
  • 6f45f3e911dd8ac4574c61b11bf105d846a10b365e989e20b51c9b02137bf41d
  • 81997765ffabdaab5417720fd9202834a0cfef810b769f6a1300b0e32694e5cb
  • 86b8e95a757e682c640e9d755c1e74db5911313821daea67e07b4fc0c403b940
  • 9372b977f945b3024129c560096bf216c573dd673cd3564ada3f814a903146a1
  • B03b1a95a187a72f9cf31fe1ea742a7f168f4ba451f90a12e4ae3ee65c9e23a5
  • B343680787b950a9927bfb5c430c408566d0db86acd7725701fb90dae352fc50
  • ba4bd66ba4fd69530fad78404e70818b7d86dc12969ae0bf877ea1eefb6aa360
  • Babb03c19dd9dac3d64432044a8c012b372e6550df19ada6a375f86e4e54ae6e
  • Bd261f3b2ff652cda344a9ec88731eaf1db858d54dcebe5ce0dddc3edffcae7c
  • C89c7ec770a47e7286c830a04d76762a78f697060a210699ff7d633516975035
  • da3df0178395eeffbc1a58409a099b63d73b585867fe17ca66ac1d9ea9e98690
  • Fc8197adf50313fa8d889ded2ed96600a9d946caa01448d21b207bfe94ccff0e
  • Fd997d4409d123a29e694724b50365697c2df49442ad396ecea166e27af7e2e8
  • Fedb5550c0513a9c02c134fb36be423509a9d89c17dac6443ce8865f1d9f8acf

Комментарии: 0