Una nuova campagna di malware sta sfruttando tecniche di marketing e reputazione online per distribuire un crypto clipper, cioe un malware progettato per rubare criptovalute intercettando gli indirizzi dei wallet copiati negli appunti. Invece di puntare solo su link sospetti o email di phishing, gli attaccanti costruiscono fiducia con un ecosistema di segnali falsi su piattaforme considerate affidabili, trasformando la ricerca di software in una trappola.
Il punto di partenza e una pagina phishing in WordPress usata come hub centrale, da cui vengono indirizzate le vittime verso progetti caricati su GitHub e SourceForge. Qui entrano in gioco account falsi e attivita coordinate per far sembrare legittimi strumenti che promettono scorciatoie nel mondo crypto, come bot per Solana e Pump fun, sniper bot e presunti crash game predictor. Il target e chi cerca profitti rapidi e soluzioni facili, spesso disposto a scaricare tool non ufficiali pur di ottenere vantaggi.
Il crypto clipper, sviluppato in Rust, colpisce sistemi Windows e macOS. Il funzionamento e semplice ma efficace: il malware monitora continuamente la clipboard e quando rileva una stringa che corrisponde al formato di un indirizzo di portafoglio, sostituisce quel contenuto con un indirizzo controllato dagli attaccanti, scelto da una lista integrata nel codice. Il risultato e che la transazione viene inviata al wallet sbagliato, senza che l utente se ne accorga.
La parte piu innovativa della campagna e la manipolazione della reputazione. Gli attaccanti sfruttano reti di account per influenzare piattaforme basate su voti e commenti, come VirusTotal, con l obiettivo di ridurre i sospetti e far apparire i file come sicuri tramite upvote e commenti positivi. Lo stesso schema viene replicato su GitHub con piu account che si promuovono a vicenda, aumentando artificialmente stelle e fork per simulare una community reale.
Su SourceForge emergono anche contatori di download gonfiati, inclusi numeri anomali attribuiti a dispositivi Android nonostante siano disponibili solo versioni desktop. A completare la strategia ci sono video tutorial su YouTube con narratori generati da intelligenza artificiale e commenti entusiasti, oltre a comunicati stampa distribuiti tramite servizi di press release e ripubblicati su siti di news legittimi, amplificando ulteriormente la credibilita percepita.