Добавь сайт в закладки нажми CTRL+D
Новая вредоносная программа использует USB-накопители, локальный Tor-клиент и перехват данных из буфера обмена для кражи seed-фраз и подмены криптоадресов
Microsoft сообщила о выявлении нового типа самораспространяющегося вредоносного ПО, именуемого Crypto Clipper, которое распространяется через USB-накопители и нацелено на похищение криптовалютных данных пользователей, включая seed-фразы и адреса кошельков.
Процесс заражения начинается с файлов ярлыков .lnk на USB-дисках. Когда заражённый носитель подключается к системе, вредоносный код активируется и проверяет наличие своей копии на устройстве. Если компонент отсутствует, он загружается через скрытый канал связи, использующий локальный клиент сети Tor [The Onion Router — сеть анонимной маршрутизации, направляющая трафик через цепочку узлов для сокрытия источника и назначения данных] и SOCKS5-прокси — протокол, позволяющий перенаправлять сетевой трафик через промежуточный сервер.
Особенностью Crypto Clipper является отказ от традиционной серверной инфраструктуры управления (C2, command-and-control). Вместо этого вредоносное ПО использует локальный Tor-клиент, что затрудняет отслеживание источников команд и утечек данных.
После заражения система начинает отслеживание буфера обмена пользователя. Если обнаруживаются строки, напоминающие криптовалютные адреса или seed-фразы из 12 или 24 слов, они автоматически перехватываются и отправляются злоумышленникам. Параллельно программа делает серию из пяти скриншотов за 10 секунд, чтобы зафиксировать контекст действий пользователя.
Кроме того, Crypto Clipper способен заменять найденные криптоадреса на адреса, контролируемые злоумышленниками, что позволяет перенаправлять транзакции прямо в чужие кошельки без ведома пользователя.
Согласно данным Microsoft, вредоносное ПО также скрывает своё присутствие, присваивая файлам на USB-накопителях названия, схожие с легитимными, чтобы усложнить их обнаружение.
Компания подчеркивает, что комбинация перехвата данных из буфера обмена, снятия экрана, удалённого выполнения команд и анонимизированной сети передачи данных делает эту угрозу особенно серьёзной: она объединяет функции шпионского ПО и инструмента удалённого контроля над заражённой системой.
Для защиты Microsoft Defender классифицирует компоненты Crypto Clipper как подозрительные JavaScript-процессы и потенциальные утечки данных через curl. Антивирус Microsoft Defender фиксирует угрозу как Trojan:Win32/CryptoBandits.A.
К косвенным признакам заражения относятся запуск скриптовыми интерпретаторами подозрительных дочерних процессов, использование локального прокси на порту 9050, попытки захвата экрана через PowerShell и активность, связанная с анализом буфера обмена или подменой криптоадресов.
ИсточникПоделись видео: