Корпорация Microsoft предупредила об обнаружении изощренного самораспространяющегося вредоносного ПО Crypto Clipper. Этот зловред, атакующий пользователей через зараженные USB-накопители, специализируется на хищении конфиденциальной криптовалютной информации, включая мнемонические фразы и адреса кошельков.
Алгоритм заражения базируется на использовании LNK-файлов (ярлыков), размещенных на внешних носителях. В момент подключения инфицированного USB-устройства запускается скрытый процесс, который проверяет наличие вредоносного компонента в системе и при необходимости скачивает его. Для обхода систем безопасности программа задействует анонимную сеть Tor [система маршрутизации трафика через цепочку узлов для маскировки реального IP-адреса] и протокол SOCKS5 для безопасной передачи данных.
Фундаментальное отличие Crypto Clipper — отказ от классических серверов управления (C2). Использование локального Tor-клиента позволяет атакующим действовать скрытно, максимально затрудняя обнаружение каналов связи и выявление злоумышленников.
Попав в систему, вредоносное ПО переходит в режим постоянного мониторинга буфера обмена. Как только в него копируются данные, напоминающие криптовалютные адреса или сид-фразы, программа мгновенно перехватывает их и переправляет на сервер хакеров. Дополнительно реализована функция скрытого захвата экрана: каждые 10 секунд делается серия из пяти скриншотов, позволяющая злоумышленникам отслеживать действия жертвы.
Crypto Clipper обладает функционалом подмены адресов: программа автоматически заменяет скопированный кошелек отправителя на реквизиты атакующих, что приводит к безвозвратной потере средств при выполнении транзакций.
Специалисты Microsoft отмечают, что для маскировки вредоносные файлы на USB-носителях имитируют легитимное ПО, что значительно снижает бдительность владельцев. Высокая опасность данной угрозы обусловлена сочетанием возможностей шпионского софта и инструментов для удаленного администрирования.
Защитные системы Microsoft Defender эффективно распознают угрозу, идентифицируя ее как Trojan:Win32/CryptoBandits.A, и блокируют подозрительные JavaScript-процессы или попытки несанкционированной передачи данных через curl.
Среди индикаторов компрометации (IoC) эксперты выделяют запуск подозрительных процессов скриптовыми движками, активацию локального прокси на порту 9050, а также нетипичную активность PowerShell, направленную на захват скриншотов или мониторинг буфера обмена.
Источник: iXBT
