Microsoft обнаружил новое самораспространяющееся вредоносное ПО для кражи криптовалюты
Microsoft сообщил о новом черве Crypto Clipper, который распространяется через USB-накопители, отслеживает буфер обмена для кражи криптовалютных данных и отправляет их злоумышленникам через Tor.
Новое вредоносное ПО для кражи криптовалюты
Microsoft объявил об обнаружении нового самораспространяющегося вредоносного ПО, которое распространяется через USB-накопители в поисках криптовалютных учётных данных. Компания назвала червя Crypto Clipper, так как он отслеживает содержимое буфера обмена устройства на предмет адресов кошельков или сид-фраз. При обнаружении он делает пять скриншотов в течение 10 секунд. Как учётные данные, так и скриншоты отправляются злоумышленнику через сеть Tor с использованием прокси SOCKS5.
Лёгкий бэкдор
Microsoft отмечает, что это вредоносное ПО примечательно тем, что не использует традиционный установщик или инфраструктуру управления на основе IP. Вместо этого оно развёртывает портативный клиент Tor, маршрутизирует трафик через локальный прокси SOCKS5 и объединяет кражу данных с удалённым выполнением кода, превращая финансово мотивированного вора в лёгкий бэкдор.
Распространение через USB
Microsoft обнаружил, что Crypto Clipper распространяется через .lnk файлы на USB-накопителях. Эти файлы содержат исполняемый код. Когда заражённый USB-накопитель подключается к устройству, код проверяет, установлено ли уже вредоносное ПО. Если нет, оно загружается через прокси Tor. Чтобы скрыть своё присутствие, вредоносное ПО сканирует USB-накопитель и переименовывает .lnk файлы в похожие названия.
