Kryptovaras väärensi koko maineensa — tähdet, arvostelut ja VirusTotal-leima eivät enää todista mitään
Vanha neuvo kuului: tarkista tähdet, lue arvostelut, katso että VirusTotal sanoo puhdas. Tuore kampanja väärensi ne kaikki kerralla, ja itse haittaohjelma on harvinaisen tylsä — leikepöytää vakoileva ohjelma, joka vaihtaa kryptolompakon osoitteen liimaushetkellä.
Tiivistelma
Check Point Research paljasti kampanjan, jossa rikollinen rakensi keinotekoisen luotettavuuden GitHubiin, SourceForgeen, YouTubeen ja VirusTotaliin samaan aikaan. Taakse kätkeytyy Rust-pohjainen leikepöytäkaappaaja, joka vaihtaa kopioidun kryptolompakon osoitteen hyökkääjän osoitteeksi. Ainoa keino, joka yhä toimii: tarkista koko liitetty lompakko-osoite ennen vahvistusta.
Olemme oppineet luottamaan tiettyihin merkkeihin. Viisi tähteä, sata latausta, joukko myönteisiä arvosteluja ja vihreä VirusTotal-tulos. Sellaisen ohjelman uskaltaa ladata. Juuri näihin reflekseihin rakennettu kampanja iski.
Check Point Research kuvasi 17. kesäkuuta raportissaan "From Stars to Upvotes" hyökkääjän, joka ei tyytynyt yhteen valheeseen. Hän väärensi maineensa joka pinnalla yhtä aikaa.
Itse haittaohjelma on ihan arkinen. Kyseessä on leikepöytäkaappaaja, kansankielellä "clipper", jonka tehtävä on yksi ainoa temppu.
Leikepöytäkaappaaja (clipper)
Ohjelma vakoilee taustalla tietokoneen leikepöytää. Kun kopioit kryptolompakon osoitteen, se tunnistaa osoitteen muodon ja vaihtaa sen hyökkääjän osoitteeksi juuri sillä hetkellä, kun liität sen maksukenttään. Liimaushetki on vaarallinen. Siinä rahat ohjautuvat huomaamatta väärään lompakkoon.
Tekninen toteutus on tehty Rust-kielellä. Windowsissa ohjelma ladataan .NET-latausohjelman kautta, macOSissa shell-skripti kiertää Gatekeeper-suojauksen, minkä jälkeen Rust-clipper jää koneelle pysyvästi LaunchAgent-tekniikalla.
Mukana kulkee yli 15 500 hyökkääjän lompakko-osoitetta. Niistä noin 15 000 on Bitcoin-muunnelmia ja noin 500 Ethereumia, jotta ohjelma osaa vaihtaa juuri sen valuutan osoitteen, jonka uhri sattuu kopioimaan.
Maine, joka ostettiin ja botitettiin
Tekijä toimii nimimerkillä @JoseCmanXD ja on ollut hakkerifoorumeilla vuodesta 2019. Vuonna 2022 hän myi "CryptoRipper"-nimistä työkalua. Nyt tekijä rakensi koko ekosysteemin uskottavuuden tyhjästä.
Keskuksena toimi WordPress-sivusto. Sen ympärille kasattiin latausalustat: GitHubissa kertyi noin 5 000 latausta vähintään kuuden tilin kautta ja SourceForgessa peräti 44 485 latausta. Luvut paisutettiin valetähdillä, haarukoinneilla ja arvosteluilla, jotka tuotettiin koordinoidulla haamutilien verkostolla.
Yksi yksityiskohta paljastaa koneiston. SourceForge raportoi 37 460 latausta Androidille, vaikka ohjelmasta on olemassa vain Windows- ja macOS-versiot.
YouTubessa pyöri kanava, jonka kertojaääni oli tekoälyllä tuotettu. Katselukerrat nousivat epäilyttävinä piikkeinä, ja kommenttikenttään istutettiin kehuja. VirusTotalissa haamutilit jättivät "turvallinen"-kommentteja ja peukutuksia, jotta tiedosto näyttäisi puhtaalta.
Vielä legitiimeille uutissivustoille ostettiin tai murrettiin julkaisuja. Ne ilmestyivät ryppäänä 27. huhtikuuta 2026 – suurin osa on sittemmin poistettu.
Mistä uhreja houkuteltiin? Syöteiksi valittiin juuri sellaisia työkaluja, joita kryptokauppiaat ja pelaajat himoitsevat: Solanan ja Pump.funin "sniper-botit", DEX-kaupankäynnin apurit, "Aviator Predictor" ja muut kolikkopelien ennustajat.
Miksi suomalaisen kannattaa lukea tämä
Koskeeko tämä siis suomalaista lainkaan? Mikään Suomen viranomainen ei ole nimennyt tätä kampanjaa, eikä clipper-haittaohjelmasta ole annettu omaa kuluttajavaroitusta. Aukko on olemassa.
Aihe ei silti ole vieras. Kyberturvallisuuskeskus on varoittanut leikepöydän kautta käynnistyvästä haittaohjelmasta ClickFix-tekniikalla sekä tunnuksia ja kryptolompakoita varastavista haittaohjelmista yleisemmin. Poliisi dokumentoi uhreja, jotka ovat lähettäneet kymmeniätuhansia euroja kryptolompakoihin haittaohjelma- ja etäkäyttöhuijausten kautta.
– Kun arvostelut, tähdet ja turvaskannerin tulos voidaan kaikki väärentää, ne eivät enää kelpaa todisteeksi mistään, kuuluu Check Point Researchin raportin ydinviesti.
Tunnistusmerkit
- Ladattava ohjelma lupaa epärealistisia voittoja: "sniper-botti", "predictor" tai kolikkopelin ennustaja.
- Ohjelmaa suositellaan YouTube-videolla, jonka kertojaääni kuulostaa keinotekoiselta ja katselukerrat ovat nousseet hyppäyksinä.
- Latausalustan tähdet, arvostelut ja latausmäärät näyttävät vakuuttavilta mutta kommentit ovat yleisluontoisia ja samankaltaisia.
- Kopioimasi kryptolompakon osoite näyttää liittämisen jälkeen erilaiselta kuin alkuperäinen.
Mitä tehdä
Tarkista aina koko liitetty lompakko-osoite ennen kuin vahvistat kryptosiirron. Vertaa vähintään ensimmäiset ja viimeiset merkit alkuperäiseen. Clipper vaihtaa juuri sen merkkijonon, jota et katso.
Älä lataa krakattuja ohjelmia, "sniper-botteja" tai ennustustyökaluja mistään. Niiden koko olemassaolon tarkoitus on houkutella asentamaan haittaohjelma.
Suhtaudu tähtiin, arvosteluihin ja "VirusTotal puhdas" -leimaan väärennettävissä olevana mainoksena, ei takeena. Ne on tässä kampanjassa todistettu valheellisiksi.
Jos epäilet asentaneesi tällaisen ohjelman, tee ilmoitus osoitteessa ilmoita.kyberturvallisuuskeskus.fi ja rikosilmoitus poliisi.fi-palvelussa. Jää nähtäväksi, antaako jokin viranomainen clipper-ohjelmista vielä oman varoituksensa. Siihen asti vastuu osoitteen tarkistamisesta on käyttäjällä itsellään.