Η Microsoft προειδοποίησε για ένα νέο self-propagating κακόβουλο λογισμικό, με την ονομασία Crypto Clipper, που εξαπλώνεται μέσω USB και στοχεύει στην κλοπή κρυπτονομισμάτων. Το κακόβουλο λογισμικό χρησιμοποιεί το δίκτυο Tor για να επικοινωνεί με τους διακομιστές των επιτιθέμενων, καθιστώντας τον εντοπισμό του εξαιρετικά δύσκολο.
Η εταιρεία ασφαλείας ανέφερε ότι το Crypto Clipper αντιγράφει το περιεχόμενο του προχείρου των θυμάτων, αναζητώντας μοτίβα που αντιστοιχούν σε 12 ή 24 λέξεις — τα γνωστά seed phrases των πορτοφολιών κρυπτονομισμάτων. Μόλις εντοπίσει κάποιο seed phrase, το ανεβάζει στους διακομιστές των εισβολέων, δίνοντάς τους πλήρη πρόσβαση στο πορτοφόλι του θύματος. Επιπλέον, το κακόβουλο λογισμικό λαμβάνει πέντε διαδοχικά στιγμιότυπα οθόνης σε διάστημα 10 δευτερολέπτων, παρέχοντας πολύτιμο πλαίσιο για τους επιτιθέμενους.
Πώς εξαπλώνεται
Το Crypto Clipper χρησιμοποιεί ένα αρχείο .lnk σε USB stick για την αρχική του εξάπλωση. Όταν μια μολυσμένη USB συσκευή συνδεθεί σε έναν υπολογιστή, ο κώδικας ελέγχει αν το κακόβουλο λογισμικό είναι ήδη εγκατεστημένο. Εάν δεν είναι, το κατεβάζει μέσω του διακομιστή μεσολάβησης Tor. Για να αποκρύψει την παρουσία του, το κακόβουλο λογισμικό σαρώνει τη μολυσμένη USB και ονομάζει τα αρχεία .lnk με παρόμοια ονόματα, κάνοντας δύσκολη τη διάκρισή τους από κανονικά αρχεία.
Η Microsoft σημειώνει ότι η εκτέλεση του Crypto Clipper είναι αξιοσημείωτη επειδή «δεν εξαρτάται από έναν παραδοσιακό εγκαταστάτη ή εκτεθειμένη υποδομή C2 βασισμένη σε IP». Αντίθετα, χρησιμοποιεί ένα φορητό πρόγραμμα-πελάτη Tor, δρομολογεί την κίνηση μέσω ενός τοπικού διακομιστή μεσολάβησης SOCKS5 και συνδυάζει την κλοπή δεδομένων με απομακρυσμένη εκτέλεση κώδικα.
Επιπτώσεις και ανίχνευση
Εκτός από την κλοπή seed phrases, το Crypto Clipper αντικαθιστά τις διευθύνσεις κρυπτονομισμάτων που εντοπίζει στο πρόχειρο με διευθύνσεις που ανήκουν σε πορτοφόλια των επιτιθέμενων. Αυτό σημαίνει ότι όταν ένα θύμα αντιγράφει μια διεύθυνση για να στείλει πληρωμή, το κακόβουλο λογισμικό την αντικαθιστά με τη δική του, εκτρέποντας τα κεφάλαια.
«Αυτή η οικογένεια κακόβουλου λογισμικού δείχνει πώς ελαφριά, βασισμένα σε script stealers μπορούν να έχουν δυσανάλογο αντίκτυπο όταν συνδυάζονται με ανωνυμοποιημένες επικοινωνίες και δυναμικές εργασίες», ανέφερε η Microsoft.
Η Microsoft Defender for Endpoint ανιχνεύει τα στοιχεία του Crypto Clipper ως «Suspicious JavaScript processes» και «Possible data exfiltrations using Curl». Το Microsoft Defender Antivirus το ανιχνεύει ως Trojan: Win32/CryptoBandits.A. Τα ισχυρότερα σημάδια μόλυνσης περιλαμβάνουν script interpreters που εκκινούν ύποπτες θυγατρικές διεργασίες, χρήση διακομιστή μεσολάβησης στο localhost:9050, εντολές λήψης στιγμιότυπων οθόνης στο PowerShell και ενδείξεις επιθεώρησης του προχείρου ή αντικατάστασης διευθύνσεων κρυπτονομισμάτων.