Una tipologia di malware in grado di intercettare e manipolare i dati copiati temporaneamente dagli utenti.
Il mondo informatico è cambiato radicalmente negli ultimi trent’anni.
L’evoluzione tecnologica e la crescente diffusione delle transazioni digitali hanno trasformato il nostro modo di intendere l’uso del computer.
Vista la grande opportunità a loro disposizione, nuove minacce sono emerse, con l’obiettivo di sfruttare le vulnerabilità di sistema che passano il più delle volte inosservate. Di certo quelle più interessanti e insididiose in ambito transazionario sono proprio i clipper: malware progettati per manipolare informazioni sensibili.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cosa sono i clipper?
Un clipper è un malware progettato per monitorare e manipolare i dati memorizzati tra gli appunti di un dispositivo.
Il nome deriva proprio da questo: prendere di mira la clipboard di un utente inconsapevole. Questa altro non è che un’area di memoria temporanea, utilizzata frequentemente per copiare e incollare informazioni sensibili e non. I clipper rappresentano una seria minaccia alla sua sicurezza, in quanto sono capaci di intercettare i dati qui memorizzati e sostituirli con valori definiti dall’attaccante.
Le origini di questa tipologia di malware è da ricercarsi nel momento in cui le criptovalute hanno iniziato a diffondersi a macchia d’olio in tutto il mondo. I portafogli digitali presentano indirizzi lunghi e complessi, molto difficili da ricordare da parte degli utenti. Per cui si preferisce copiarli e incollarli durante le transazioni, ricorrendo proprio alla clipboard. In questa fase che i clipper entrano in azione. Nel momento in cui un utente copia un’indirizzo, il malware lo intercetta e lo sostituisce al volo, senza che l’utente possa minimamente accorgersene.
Tale operazione altera la transazione monetaria, in quanto il versamento è reindirizzato verso il portafoglio digitale degli attaccanti.
A questo si aggiunge anche il furto di credenziali, in quanto i clipper più avanzati possono anche esfiltrare i dati sensibili dell’account utente. In tal modo, un attore malevolo può entrare in possesso dell’intero portafoglio digitale della sua vittima, senza che questa ne possa essere minimamente al corrente. Tuttavia, un clipper non si limita solo al furto di credenziali, ma può anche essere impiegato come entry point per ulteriori infezioni e, di conseguenza, attacchi ben più pericolosi e impattanti.
Esempi di clipper noti
Uno dei più celebri esempi di clipper, è Trojan.Clipper.231.
Identificato da Kaspersky Lab nel 2019, si tratta di un malware diffuso attraverso il Google Play Store. Camuffato da finta applicazione legittima per transazioni digitali, sotto il nome di MetaMask, il suo obiettivo erano i portafogli di criptovalute. Nel momento stesso in cui l’incauto utente la installava sul proprio dispositivo Android, il clipper seguiva la prassi descritta nel paragrafo precedente. Intercettava gli indirizzi copiati nella clipboard e li sostituiva con quelli forniti direttamente dagli attaccanti, reindirizzando la transazione verso questi ultimi. Tutt’oggi questo clipper risulta ancora attivo, con un nuovo framework scritto in C++ capace di prendere di mira non solo Android, ma anche i sistemi operativi Microsoft Windows 10 e 11.
Un altro clipper molto rappresentativo della minaccia è ClipBanker.
Distribuito principalmente su marketplace di terze parti e forum di hacking, si presentava come un software genuino atto alla gestione di criptovalute e chiavi digitali. Questo clipper era così sofisticato e avanzato, da evadere totalmente i controlli di sicurezza del software antivirus e di esercitare una notevole persistenza nel sistema. La clipboard del sistema operativo finiva quindi sotto un monitoraggio costante e invisibile agli occhi dell’utente. I dati sensibili venivano rubati da svariate fonti, come Skype, Telegram, Outlook e ovviamente i portafogli di criptovalute.
Si suppone che ClipBanker abbia anche generato una propria famiglia di malware, scomparsa dai radar sul finire del 2022.
Come funziona un clipper?
Il funzionamento di un clipper è basato in toto sulla manipolazione del comportamento utente. Una volta installato attraverso il download di un software solo in apparenza genuino, o mediante le classiche e-mail di phishing, il clipper si integra nel sistema operativo e lo monitora costantemente. Quando un utente copia un indirizzo di criptovaluta, ad esempio durante una transazione su un exchange, o un altro wallet digitale, il malware si attiva e confronta il contenuto della clipboard con una serie di pattern predefiniti.
Se l’indirizzo corrisponde al formato di un portafoglio digitale, il clipper lo sostituisce immediatamente con un indirizzo appartenente agli attori malevoli. Questa sostituzione avviene in pochi millisecondi, un tempo talmente minimo da risultare invisibile agli occhi umani. L’utente, inconsapevole della manipolazione, incolla il dato alterato e procede con la transazione. Così facendo, i suoi fondi vengono trasferiti al portafoglio malevolo. Questo processo sfrutta la fiducia implicita nell’affidabilità della clipboard e la disattenzione dell’utente, che raramente verifica l’indirizzo incollato prima di procedere.
La cosa più preoccupante dei clipper è che non sono neanche facilmente rilevabili.
Questo perché non interferiscono con altri processi di sistema, in modo da non generare anomalie nel consumo di risorse evidenti. A questo si aggiungono delle tecniche di offuscamento molto sofisticate, in grado di bypassare le analisi di sicurezza degli antivirus installati sul sistema. Infatti, le varianti più sofisticate integrano al loro interno un modulo specifico capace di rilevare ambienti sandbox, o analisi comportamentali precise. Grazie a questo il clipper diviene in grado di disattivarsi in presenza di tali elementi, salvaguardando in toto il suo codice sorgente dalle ispezioni.
In più c’è da dire che alcuni clipper sono anche capaci di aggiornarsi da remoto, spesso e volentieri sfruttando i comandi di Microsoft PowerShell all’insaputa dell’utente. In tal modo, gli attori malevoli possono modificare anche i parametri operativi della loro creatura, a seguito della sua installazione nel sistema della vittima.
Best practices contro i clipper
Una procedura univoca e definitiva per proteggere sé stessi e la propria organizzazione da un’infezione da clipper, sfortunatamente non esiste. Tuttavia, è possibile adottare una serie di contromisure efficaci per prevenirne una, o mitigare i danni in caso di una sua insorgenza.
- Verificare sempre manualmente i dati incollati. Prima che la transazione sia finalizzata, è bene confrontare attentamente il dato incollato dalla clipboard, con quello originale.
- Installare un software antivirus completo e professionale.
Le soluzioni antivirus gratuite non garantiscono una protezione sicura ed efficace contro i clipper. Poiché queste minacce giungono sempre nascoste in software eseguibile, o mediante allegati malevoli, è bene affidarsi a una suite antivirus dotata dei moduli antifurto e anti-phishing. In tal modo si stronca sul nascere una possibile infezione. - Mai installare software acquisito da fonti dubbie.
Qualsiasi programma, o applicazione mobile, deve essere sempre acquisito da siti e marketplace ufficiali.
Questo perché le fonti dubbie ospitano al loro interno pacchetti contenenti codice non firmato e potenzialmente dannoso per il proprio dispositivo. Piattaforme come Softonic, Uptodown, senza dimenticare Aptoide e Apkpure di Android, si sono dimostrati più volte autentiche fucine di malware. - Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza.
Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. - Adottare una soluzione di filtraggio e-mail efficace.
Poiché i clipper sfruttano molto spesso la posta elettronica come entry point, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio. - Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
I clipper possono insinuarsi in un’organizzazione anche attraverso i clienti ad essa affiliati.
Per cui è necessario doverli istruire con pratiche di sicurezza base e a prestare attenzione alle loro operazioni online.
In conclusione
In un contesto dove le minacce informatiche si evolvono rapidamente, i clipper virus continuano a sfruttare la disattenzione degli utenti e la loro fiducia riposta in strumenti di uso quotidiano. Come altre tipologie di malware, anche questi sono costantemente migliorati dai cybercriminali, per massimizzarne l’efficacia e sfuggire ai controlli di sicurezza.
La migliore difesa resta una combinazione di vigilanza, consapevolezza e un utilizzo ponderato delle tecnologie a nostra disposizione.
Che si tratti di verificare con attenzione un indirizzo incollato o di adottare soluzioni di sicurezza avanzate, ogni accortezza può segnare la differenza tra un sistema protetto e una violazione irreparabile.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.