У світі кібербезпеки з’явилася нова серйозна загроза – шкідливе програмне забезпечення під назвою Crypto Clipper, яке спеціалізується на викраденні криптовалютних даних. Ця новаторська розробка, виявлена компанією Microsoft, використовує нетрадиційні методи поширення та функціонування, що робить її особливо небезпечною для користувачів криптовалютних гаманців.
Аналіз загрози Crypto Clipper
Механізм поширення та функціонування
Crypto Clipper поширюється через USB-накопичувачі, що само по собі вже є незвичним підходом для сучасних кіберзагроз. Вірусне програмне забезпечення при підключенні зараженого носія до комп’ютера, шукає криптовалютні гаманці та “seed-фрази”, які часто зберігаються в буфері обміну. Після ідентифікації такої конфіденційної інформації, троян робить до п’яти знімків екрана протягом десяти секунд, передаючи їх разом із викраденими даними на сервери зловмисників. Microsoft припускає, що створення скріншотів може надавати додатковий контекст щодо дій користувача, що потенційно допомагає в подальших атаках.
Унікальність архітектури
Однією з ключових особливостей Crypto Clipper є відсутність традиційних інсталяторів або відкритої інфраструктури управління на базі IP-адрес. Натомість, він використовує портативний клієнт Tor для маршрутизації трафіку через локальний SOCKS5-проксі. Це дозволяє ефективно поєднувати крадіжку даних з можливістю віддаленого виконання команд, перетворюючи фінансово мотивований інструмент на зручний бекдор.
Способи маскування та викрадення
Фахівці Microsoft зафіксували, що Crypto Clipper поширюється через .lnk-файли на USB-носіях, які містять прихований виконуваний код. Після підключення зараженого накопичувача, програма перевіряє наявність шкідливого програмного забезпечення на комп’ютері та, у разі його відсутності, завантажує через Tor-проксі. Для приховування своєї присутності, троян сканує USB-носій, перейменовує .lnk-файли, надаючи їм схожі назви, і найголовніше – замінює адреси криптовалютних гаманців користувачів на власні. В результаті, коли користувач намагається здійснити переказ, кошти автоматично спрямовуються на рахунок зловмисників.
Детекція та класифікація
Microsoft Defender for Endpoint ідентифікує компоненти Crypto Clipper як підозрілі JavaScript-процеси, а також відзначає можливе виведення даних за допомогою утиліти Curl. Microsoft Defender Antivirus класифікує цю загрозу як Trojan:Win32/CryptoBandits.A. Серед загальних індикаторів зараження фахівці називають: запуск підозрілих дочірніх процесів інтерпретаторами скриптів, використання проксі на localhost:9050, команди для захоплення екрана в PowerShell, а також ознаки перевірки буфера обміну або підміни криптоадрес.
Висновок
Microsoft підкреслює, що це сімейство троянів демонструє, наскільки потужними можуть бути прості скриптові інструменти, особливо коли вони поєднуються з анонімізованими каналами зв’язку та можливістю виконання завдань у реальному часі. Використання Tor-маршрутизації, цілеспрямоване перехоплення буфера обміну, створення скріншотів та віддалене виконання команд забезпечують зловмисникам як швидкі способи монетизації, так і тривалий контроль над зараженими пристроями.
Додаткова інформація
Загрози для криптовалют
За останні роки кількість кібератак, спрямованих на викрадення криптовалют, значно зросла. Зловмисники постійно вдосконалюють свої методи, шукаючи нові вразливості в програмному забезпеченні та поведінці користувачів. Crypto Clipper є яскравим прикладом такої еволюції, демонструючи, як навіть старіші методи, такі як використання USB-накопичувачів, можуть бути ефективно адаптовані для сучасних загроз.
Безпека USB-накопичувачів
Зважаючи на виявлення Crypto Clipper, експерти з кібербезпеки наполегливо рекомендують користувачам бути вкрай обережними при використанні USB-накопичувачів, особливо тих, що походять з невідомих джерел. Регулярне сканування носіїв антивірусним програмним забезпеченням та уникнення автоматичного запуску файлів може допомогти зменшити ризик зараження.
Важливість багатофакторної аутентифікації
Для захисту криптовалютних активів, крім використання надійних паролів та регулярних оновлень програмного забезпечення, вкрай важливо застосовувати багатофакторну аутентифікацію (MFA) там, де це можливо. Це додає додатковий рівень безпеки, ускладнюючи зловмисникам доступ до облікових записів навіть у разі викрадення паролів.
