Категории Криптовалюты и NFT

Microsoft выявила USB-червя для кражи криптокошельков

Microsoft выявила USB-червя для кражи криптокошельков

Microsoft сообщила о новом Windows-вредоносе Crypto Clipper, который распространяется через USB-накопители и нацелен на кражу данных криптокошельков. Программа перехватывает содержимое буфера обмена, ищет seed-фразы и адреса кошельков, а затем может подменять реквизиты получателя в транзакции. Для связи с операторами она использует локальный Tor-клиент вместо обычной серверной инфраструктуры, что усложняет анализ и блокировку.

Начальная точка заражения, по данным компании, — это ярлыки .lnk на USB-дисках. После подключения носителя вредонос проверяет наличие своих компонентов и, если нужно, догружает их через скрытый канал с Tor и SOCKS5-прокси. Такой подход снижает зависимость от классических C2-серверов. Их проще выключить, чем десятки узлов анонимной сети.

После установки Crypto Clipper отслеживает буфер обмена и ищет строки, похожие на криптоадреса или seed-фразы из 12 и 24 слов. Найденные данные он отправляет злоумышленникам, а параллельно делает пять скриншотов за 10 секунд, чтобы зафиксировать действия пользователя. Если жертва копирует адрес кошелька перед переводом, программа может незаметно заменить его на адрес атакующих.

Читайте также:

Сам механизм не новый, но комбинация примечательна. USB-распространение через .lnk уже использовал червь Raspberry Robin, который несколько лет подряд фигурирует в отчетах Microsoft и Red Canary как один из самых заметных загрузчиков в Windows-среде. Клипперы для криптокошельков тоже давно стали отдельным классом угроз, а ущерб от криптопреступлений остается крупным: по оценке Chainalysis, незаконные адреса получили не менее $24,2 млрд в 2023 году, и итоговая сумма после доатрибуции обычно растет.

  • подозрительные дочерние процессы у скриптовых интерпретаторов
  • локальный прокси на порту 9050
  • попытки захвата экрана через PowerShell
  • операции с буфером обмена и подмена криптоадресов

Microsoft Defender детектирует компоненты угрозы как Trojan:Win32/CryptoBandits.A, а также помечает связанные JavaScript-процессы и подозрительные утечки через curl. Практический вывод для компаний старый, хотя повод свежий: отключать автозапуск уже недостаточно, нужен контроль .lnk-файлов, PowerShell, локальных прокси и съемных носителей. Для криптосервисов это еще один аргумент в пользу адресной книги и аппаратных кошельков, потому что буфер обмена в Windows по-прежнему остается слишком удобной точкой атаки.

Источник: Ixbt