В феврале компания Microsoft сообщила в своем блоге, что вредоносное ПО, которое распространяется через USB-накопители, заражает персональные компьютеры под управлением Windows и нацелено на криптовалютные кошельки.
Компания называет это вредоносное ПО «криптовалютным клиппером», а ее антивирус Defender идентифицирует его как Trojan:Win32/CryptoBandits.
Процесс начинается с зараженного USB-накопителя, который содержит вредоносный файл ярлыка или ссылки. В Windows имена файлов ярлыков заканчиваются на «.lnk» и указывают операционной системе на открытие определенной программы, папки или файла, хранящегося в другом месте на компьютере.
Когда пользователь подключает этот накопитель и щелкает по ярлыку, на компьютер устанавливается вредоносное ПО, известное как «червь». После установки оно делает две вещи: постоянно запускает код кражи криптовалютного кошелька и одновременно ожидает подключения нового, чистого USB-накопителя к тому же компьютеру.
Компонент, предназначенный для кражи кошельков, отслеживает буфер обмена Windows — скрытую временную память, используемую для операций копирования и вставки, — примерно каждые 500 миллисекунд. Когда пользователь копирует сид-фразу криптовалютного кошелька или закрытый ключ для кошелька Bitcoin или Ethereum, вредоносная программа перехватывает эти данные и отправляет их на сервер злоумышленника через сеть Tor — открытую сеть, которая обеспечивает анонимную связь. Она также делает пять скриншотов с интервалом в 10 секунд и отправляет их вместе с данными.
Риск на этом не заканчивается
Если пользователь копирует адрес получателя для отправки средств, «червь» незаметно заменяет его адресом, контролируемым злоумышленником, прежде чем пользователь вставит данные, поэтому перевод поступает злоумышленнику без каких-либо видимых признаков.
Наконец, «червь» распространяется, когда к компьютеру подключается чистый USB-накопитель. Он сканирует чистый USB-накопитель на наличие обычных файлов, документов Word, таблиц Excel и PDF-файлов, заменяет их новыми файлами ярлыков с теми же именами и заражает накопитель. Затем цикл продолжается.
Microsoft рекомендует отключить функцию автозапуска для съемных носителей, заблокировать выполнение файлов .lnk на USB-накопителях с помощью групповой политики и ограничить работу таких скриптовых хостов, как wscript.exe и cscript.exe. Пользователи Microsoft Defender также могут запускать поисковые запросы для проверки связанной активности, включая подключения к локальному прокси-серверу Tor на порту 9050.
Microsoft опубликовала список индикаторов компрометации, включая хеши файлов и домены .onion, используемые в качестве серверов управления и контроля, для проверки сетей группами безопасности.
Источник: cryptonews.net