Специалистите от Microsoft откриха нов вид злонамерен софтуер, който се разпространява чрез USB флашки и се използва за откриване, кражба и предаване на злонамерени лица на данни за достъп до криптовалутни портфейли. Зловредният софтуер е получил името Crypto Clipper, тъй като следи съдържанието на клипборда за наличие на шаблони, съответстващи на адреси на криптопортфейли.
При откриване на подходящи данни зловредният софтуер прави 5 екранни снимки в рамките на 10 секунди. Екранните снимки заедно с данните за достъп се изпращат към външен сървър чрез мрежовия протокол Tor, осигуряващ анонимно маршрутизиране, което позволява да се скрият IP адресите на изпращача и получателя на данните. Crypto Clipper установява Tor връзка чрез SOCKS5 – протокол, който позволява пренасочването на трафика през прокси сървър.
Сrypto Clipper се разпространява чрез .lnk файлове на USB флашки. Тези файлове съдържат изпълним код, който се използва за откриване на злонамерен софтуер на компютъра при свързване на USB флашка. Ако злонамереният софтуер не бъде открит, той се изтегля чрез Tor. За да прикрие своята дейност, зловредният софтуер сканира носителя и именува .lnk файловете с подобни имена.
Crypto Clipper следи клипборда с цел откриване на шаблони, съответстващи на стандартизирани фрази от 12 или 24 думи, които се използват за генериране на частни ключове за портфейли. При откриване на такива шаблони зловредният софтуер ги качва заедно със скрийншотовете на сървъра на злоумишлениците. Той също така може да подменя адресите на портфейлите, като по този начин се опитва да пренасочи плащанията, извършвани от жертвата, към портфейлите на злоумишлениците.
В съобщението се посочва, че антивирусът Microsoft Defender for Endpoint открива компонентите на Crypto Clipper като подозрителни JavaScript процеси и вероятни изтичания на данни чрез Curl. Антивирусната на Microsoft идентифицира зловредния софтуер като Trojan: Win32/CryptoBandits.A. Сред най-забележимите признаци за заразяване са стартирането на подозрителни процеси от скриптови интерпретатори, използването на прокси на localhost:9050, появата на команди за заснемане на екрана в PowerShell, както и признаци за проверка на клипборда или замяна на адресите на криптовалутните портфейли.
От Microsoft отбелязаха, че Crypto Clipper показва как прости скриптови инструменти могат да окажат значително влияние в комбинация с анонимни канали за връзка и възможността за изпълнение на задачи в реално време. Използването на Tor маршрутизация, целенасоченото прихващане на буфера за обмен, създаването на екранни снимки и отдалеченото изпълнение на команди осигуряват на хакерите както бързи начини за печелене на пари, така и дългосрочен контрол над заразените устройства.