Microsoft a depistat un malware care deturnează portofelele de criptomonede și se propagă prin intermediul stick-urilor USB.
Software-ul interceptează fișierele de tip shortcut și le direcționează pentru a instala un vierme (worm) care colectează cheile private din clipboard-ul Windows și inserează propriile adrese de portofel de destinație atunci când detectează un transfer.
Un vierme care există încă din luna februarie se propagă prin unități USB.
Malware-ul, denumit „crypto clipper”, se răspândește prin unități USB infectate pentru a viza portofelele de criptomonede ale utilizatorilor Windows începând din luna februarie, conform Microsoft. Odată instalat printr-un fișier scurtătură malițios .lnk, viermele cunoscut sub numele de Trojan:Win32/CryptoBandits monitorizează clipboard-ul pentru fraze seed, chei private și adrese de destinatar, exfiltrează date prin rețeaua Tor și poate schimba în tăcere adresele de portofel controlate de atacator.
Malware-ul se propagă înlocuind documente de pe unități USB curate cu scurtături cu nume identice. Microsoft a îndemnat utilizatorii să dezactiveze AutoRun, să blocheze execuția fișierelor .lnk pe mediile USB, să restricționeze script hosts și să verifice rețelele în raport cu indicatorii de compromis publicați.
Malware-ul care se propagă prin stick-uri USB a infectat computere personale cu Windows și a vizat portofele de criptomonede începând din luna februarie, a precizat Microsoft într-o postare pe blog. Compania numește malware-ul „crypto clipper”, iar antivirusul său Defender îl identifică drept Trojan:Win32/CryptoBandits.
Procesul începe cu o unitate USB infectată care conține o scurtătură, sau un fișier link, malițios. În Windows, numele fișierelor de scurtătură se termină în „.lnk” și instruiesc sistemul de operare să deschidă un anumit program, folder sau fișier stocat în altă parte pe computerul dumneavoastră. Când un utilizator conectează acea unitate și face clic pe scurtătură, un tip de malware cunoscut sub numele de „vierme” este instalat pe PC.
Odată instalat, acesta face două lucruri: rulează constant codul real de furt de portofele crypto și așteaptă simultan ca o unitate USB nouă și curată să fie conectată la același PC.
Componenta de furt de portofele monitorizează clipboard-ul Windows, memoria temporară ascunsă utilizată pentru operațiuni de copiere-lipire, aproximativ la fiecare 500 de milisecunde. Când un utilizator copiază o frază seed a unui portofel crypto sau o cheie privată pentru un portofel Bitcoin sau Ethereum, malware-ul capturează acele date și le trimite pe serverul atacatorului prin rețeaua Tor, o rețea sursă deschisă care oferă comunicare anonimă.
De asemenea, face cinci capturi de ecran, la intervale de zece secunde, și le trimite și pe acestea.
Ricul nu se termină aici. Dacă un utilizator copiază o adresă de destinatar pentru a trimite fonduri, viermele o înlocuiește în tăcere cu o adresă controlată de atacator înainte ca utilizatorul să o lipească, astfel încât transferul ajunge la atacator fără nicio indicație vizibilă.
În cele din urmă, viermele se propagă atunci când o unitate USB curată este conectată la computer. Scanează unitatea USB curată pentru fișiere obișnuite, documente Word, foi Excel și PDF-uri, le înlocuiește cu noi fișiere de scurtătură cu aceleași nume și infectează unitatea. Apoi, ciclul continuă.
Microsoft recomandă dezactivarea AutoRun pentru mediile amovibile, blocarea execuției fișierelor .lnk pe unitățile USB prin intermediul politicilor de grup și restricționarea script hosts, cum ar fi wscript.exe și cscript.exe.
Clienții Microsoft Defender pot, de asemenea, să ruleze interogări de căutare pentru a verifica activități conexe, inclusiv conexiuni la un proxy Tor local pe portul 9050.
Microsoft a publicat o listă de indicatori de compromitere, inclusiv hash-uri de fișiere și domenii .onion utilizate ca servere de comandă și control, pentru ca echipele de securitate să-și poată verifica rețelele.