Ноутбук с кодом и графическим изображением кибербезопасности
Изображение сгенерировано: Nano Banana
Автор:

Microsoft сообщила о новом Windows-вредоносе Crypto Clipper, который распространяется через USB-накопители и нацелен на кражу данных криптокошельков. Программа перехватывает содержимое буфера обмена, ищет seed-фразы и адреса кошельков, а затем может подменять реквизиты получателя в транзакции. Для связи с операторами она использует локальный Tor-клиент вместо обычной серверной инфраструктуры, что усложняет анализ и блокировку.

Начальная точка заражения, по данным компании, — это ярлыки .lnk на USB-дисках. После подключения носителя вредонос проверяет наличие своих компонентов и, если нужно, догружает их через скрытый канал с Tor и SOCKS5-прокси. Такой подход снижает зависимость от классических C2-серверов. Их проще выключить, чем десятки узлов анонимной сети.

После установки Crypto Clipper отслеживает буфер обмена и ищет строки, похожие на криптоадреса или seed-фразы из 12 и 24 слов. Найденные данные он отправляет злоумышленникам, а параллельно делает пять скриншотов за 10 секунд, чтобы зафиксировать действия пользователя. Если жертва копирует адрес кошелька перед переводом, программа может незаметно заменить его на адрес атакующих.

Сам механизм не новый, но комбинация примечательна. USB-распространение через .lnk уже использовал червь Raspberry Robin, который несколько лет подряд фигурирует в отчетах Microsoft и Red Canary как один из самых заметных загрузчиков в Windows-среде. Клипперы для криптокошельков тоже давно стали отдельным классом угроз, а ущерб от криптопреступлений остается крупным: по оценке Chainalysis, незаконные адреса получили не менее $24,2 млрд в 2023 году, и итоговая сумма после доатрибуции обычно растет.

  • подозрительные дочерние процессы у скриптовых интерпретаторов
  • локальный прокси на порту 9050
  • попытки захвата экрана через PowerShell
  • операции с буфером обмена и подмена криптоадресов

Microsoft Defender детектирует компоненты угрозы как Trojan:Win32/CryptoBandits.A, а также помечает связанные JavaScript-процессы и подозрительные утечки через curl. Практический вывод для компаний старый, хотя повод свежий: отключать автозапуск уже недостаточно, нужен контроль .lnk-файлов, PowerShell, локальных прокси и съемных носителей. Для криптосервисов это еще один аргумент в пользу адресной книги и аппаратных кошельков, потому что буфер обмена в Windows по-прежнему остается слишком удобной точкой атаки.

Источник: Ixbt
А вот ещё материалы по теме:
Марта Баринова
Редактор новостного отдела, специализирующийся на аналитике программного обеспечения, стриминговых сервисов и изменениях в политике глобальных технологических платформ. В своих материалах Марта подробно освещает обновления Windows, функциональные изменения в Spotify и Google, а также исследует вопросы антимонопольного регулирования магазинов приложений. Автор более 140 публикаций, помогающих пользователям ориентироваться в быстро меняющемся ландшафте цифровых сервисов.

    Leave a reply