Microsoft обнаружила новый легковесный бэкдор, позволяющий красть криптовалюту.
Crypto Clipper распространяется через USB и обменивается данными через Tor.
Источник: Getty Images Источник: Getty Images
Компания Microsoft заявляет об обнаружении нового самораспространяющегося вредоносного ПО, которое распространяется через USB-накопители в поисках учетных данных для криптовалюты, а затем отправляет их на серверы, контролируемые злоумышленниками.
Компания назвала червя Crypto Clipper, потому что он отслеживает содержимое буфера обмена устройства на предмет соответствия адресам кошельков или сид-фразам. При обнаружении вредоносная программа также делает пять скриншотов в течение 10 секунд. И учетные данные, и скриншоты затем отправляются злоумышленнику через Tor — сетевой протокол, обеспечивающий анонимную маршрутизацию путем отправки трафика через резервные узлы, так что журналы не могут зафиксировать одновременно IP-адреса отправителя и получателя. Crypto Clipper устанавливает соединение Tor, используя прокси-сервер SOCKS5 — сетевой протокол, который отправляет трафик через прокси-сервер, а тот затем перенаправляет его к конечному пункту назначения.
Легкий задний проход
«Примечательно, что этот инструмент для кражи данных не зависит от традиционного установщика или открытой инфраструктуры управления и контроля на основе IP-адресов», — заявила Microsoft в четверг. «Вместо этого он развертывает портативный клиент Tor, направляет трафик через локальный прокси-сервер SOCKS5 и сочетает кражу данных с удаленным выполнением кода, превращая вора, мотивированного финансовой выгодой, в легковесный бэкдор».
Компания Microsoft сообщила об обнаружении распространения Crypto Clipper через файлы .lnk на USB-накопителе. Эти файлы содержат исполняемый код. Когда зараженный USB-накопитель подключается к устройству, код проверяет, установлен ли он уже на компьютере. Если нет, вредоносная программа загружает его через прокси-сервер Tor. Чтобы лучше скрыть следы червя, вредоносная программа сканирует зараженный USB-накопитель и присваивает файлам .lnk похожие имена.
Высокоуровневая схема выполнения Crypto Clipper. Источник: Microsoft.Crypto Clipper отслеживает содержимое буфера обмена на предмет соответствия шаблонам, соответствующими стандартизированным сид-фразам из 12 или 24 слов. При обнаружении шаблонов он загружает их вместе со скриншотами на сервер злоумышленника. Вредоносная программа также заменяет найденные адреса адресами, принадлежащими кошелькам, контролируемым злоумышленником. Это позволяет вредоносному ПО перенаправлять платежи на счета злоумышленника. Microsoft считает, что цель скриншотов — предоставить контекст, который может быть полезен.
«Это семейство вредоносных программ демонстрирует, как легковесные, основанные на скриптах программы-крады могут оказывать огромное влияние в сочетании с анонимизированными коммуникациями и задачами, выполняемыми во время работы», — заявила Microsoft. «Сочетание маршрутизации через Tor C2, нацеливания на буфер обмена, захвата скриншотов и удаленного выполнения кода дает злоумышленникам как немедленные пути монетизации, так и постоянный контроль над скомпрометированными устройствами».
Microsoft Defender for Endpoint обнаруживает компоненты Crypto Clipper как подозрительные процессы JavaScript и возможную утечку данных с использованием Curl. Антивирус Microsoft Defender определяет его как троян: Win32/CryptoBandits.A. В более общем плане, наиболее убедительными признаками заражения являются запуск подозрительных дочерних процессов интерпретаторами скриптов, использование прокси-сервера на localhost:9050, команды захвата экрана в PowerShell, а также признаки проверки буфера обмена или замены криптографических адресов.
Источник: arstechnica.com
Оцените материал:
