Автор: Влад Черевко Цікавлюся різного роду електронікою і технологіями з початку 2000-х. Регулярно стежу за технологічними новинами світу і сам пишу матеріали про це.
Категорії: Кібербезпека, Microsoft, Віруси
Компанія Microsoft повідомила про виявлення нового самопоширюваного шкідливого програмного забезпечення, яке орієнтоване на викрадення криптовалютних даних,пишеArs Technica. Загроза отримала назву Crypto Clipper.
Вірусне ПЗ поширюється через USB‑накопичувачі та спрямоване на пошук гаманців і seed‑фраз, які зберігаються у буфері обміну пристроїв. Після виявлення таких даних Crypto Clipper робить п’ять знімків екрана протягом десяти секунд і надсилає їх разом з даними на сервери, контрольовані зловмисниками. Microsoft вважає, що створення скріншотів може бути корисним для отримання додаткового контексту щодо дій користувача.
Особливістю виконання цього трояна є те, що він не використовує традиційний інсталятор чи відкриту інфраструктуру управління на базі IP‑адрес. Замість цього застосовується портативний клієнт Tor, який маршрутизує трафік через локальний SOCKS5‑проксі. Це дозволяє поєднувати крадіжку даних із віддаленим виконанням команд, перетворюючи фінансово мотивований інструмент на легкий бекдор.
Фахівці Microsoft зафіксували поширення Crypto Clipper через файли .lnk на USB‑носіях, які містять виконуваний код. Після підключення зараженого накопичувача до комп’ютера цей код перевіряє, чи інстальовано шкідливу програму на пристрої. Якщо ні, то завантажує її через проксі Tor.
Для маскування своєї присутності троян сканує USB‑носій і перейменовує .lnk‑файли, надаючи їм схожі назви. Окрім цього, шкідливе ПЗ замінює знайдені адреси гаманців на ті, що належать зловмисникам. Таким чином, коли користувач використовує потрібну адресу для переказу, кошти спрямовуються не на запланований рахунок, а на гаманець атакуючих.
Microsoft Defender for Endpoint визначає компоненти Crypto Clipper як підозрілі JavaScript-процеси та можливе виведення даних за допомогою утиліти Curl. Microsoft Defender Antivirus класифікує загрозу як Trojan:Win32/CryptoBandits.A. Серед загальних індикаторів зараження компанія називає запуск підозрілих дочірніх процесів інтерпретаторами скриптів, використання проксі на localhost:9050, команди для захоплення екрана в PowerShell і ознаки перевірки буфера обміну або підміни криптоадрес.
У Microsoft зазначили, що це сімейство троянів демонструє, як легкі скриптові інструменти можуть мати значний вплив у поєднанні з анонімізованими каналами зв’язку та можливістю виконання завдань у реальному часі. Використання Tor‑маршрутизації, цілеспрямоване перехоплення буфера обміну, створення скріншотів та віддалене виконання команд забезпечують зловмисникам як швидкі способи монетизації, так і тривалий контроль над зараженими пристроями.
