MWC 2018
2018
Computex
IFA 2018
Специалисты Microsoft выявили новое вредоносное программное обеспечение, которое распространяется через USB-накопители и используется для обнаружения, кражи и передачи злоумышленникам учётных данных от криптовалютных кошельков. Вредонос получил название Crypto Clipper, поскольку он отслеживает содержимое буфера обмена на наличие шаблонов, соответствующих адресам криптокошельков.
Источник изображения: Traxer / unsplash.com
При обнаружении подходящих данных вредонос делает пять скриншотов в течение десяти секунд. Снимки экрана вместе с учётными данными отправляются на сторонний сервер через сетевой протокол Tor, обеспечивающий анонимную маршрутизацию, что позволяет скрыть отправляющий и принимающий данные IP-адреса. Crypto Clipper устанавливает соединение Tor с помощью SOCKS5 — протокола, который позволяет направлять трафик через прокси-сервер.
«Работа этого вредоноса примечательна тем, что не зависит от традиционного установщика и открытой C2-инфраструктуры на основе IP-адресов. Вместо этого он разворачивает портативный Tor-клиент, направляет весь трафик через локальный прокси-сервер SOCKS5 и совмещает кражу данных с удалённым выполнением кода, превращая инструмент для кражи с целью получения финансовой выгоды в легковесный бэкдор», — говорится в заявлении Microsoft.
Отмечается, что Crypto Clipper распространяется через файлы .lnk на USB-накопителях. Эти файлы хранят исполняемый код, который используется для обнаружения вредоносного ПО на компьютере при подключении USB-накопителя. Если вредонос не обнаруживается, то происходит его загрузка через Tor. Для маскировки своей активности вредонос сканирует носитель и называет файлы .lnk похожими именами.
Crypto Clipper отслеживает буфер обмена с целью обнаружения шаблонов, соответствующих стандартизированным сид-фразам из 12 или 24 слов, которые используются для формирования приватных ключей кошельков. При обнаружении таких шаблонов вредонос загружает их вместе со скриншотами на сервер злоумышленников. Он также может подменять адреса кошельков, тем самым пытаясь перенаправить совершаемые жертвой платежи в кошельки злоумышленников.
В сообщении сказано, что антивирус Microsoft Defender for Endpoint обнаруживает компоненты Crypto Clipper как подозрительные процессы JavaScript и вероятные утечки данных через Curl. Продукт Microsoft Defender идентифицирует вредонос как Trojan: Win32/CryptoBandits.A. К наиболее заметным признакам заражения относят запуск скриптовыми интерпретаторами подозрительных процессов, использование прокси на localhost:9050, появление команд захвата экрана в PowerShell, а также появление признаков проверки буфера обмена или замены адресов криптовалютных кошельков.
Источник:
