Цифровые монеты и криптовалюта на поверхности крипто-кошелька Microsoft
Автор:

Microsoft сообщила о новом вредоносе Crypto Clipper, который распространяется через USB-накопители и нацелен на кражу данных из криптовалютных кошельков. Программа следит за буфером обмена, ищет адреса кошельков и сид-фразы, а затем отправляет собранные данные злоумышленникам через сеть Tor. Отдельно Microsoft указывает на функцию подмены адресов, которая позволяет перенаправлять перевод на чужой кошелёк.

Вредонос работает без классического установщика и без заметной C2-инфраструктуры на публичных IP-адресах. Вместо этого он поднимает портативный Tor-клиент, использует локальный SOCKS5-прокси и совмещает кражу данных с удалённым выполнением кода. В терминологии Microsoft это уже не только стилер, а лёгкий бэкдор с финансовой специализацией.

Основной канал распространения связан с файлами .lnk на съёмных носителях. После подключения USB-накопителя такой файл проверяет систему, и если нужный компонент не найден, загружает его через Tor. Для маскировки Crypto Clipper сканирует содержимое носителя и присваивает ярлыкам имена, похожие на настоящие файлы. Такой приём Microsoft уже встречала в других кампаниях с USB-распространением, включая Raspberry Robin, который тоже опирался на .lnk и съёмные носители.

После запуска вредонос ищет в буфере обмена шаблоны, похожие на сид-фразы из 12 или 24 слов. Это стандартный формат BIP39, который используют многие программные и аппаратные криптокошельки для восстановления доступа. Если совпадение найдено, программа в течение десяти секунд делает пять скриншотов и отправляет их вместе с фразой на сервер операторов.

  • подозрительные процессы JavaScript через скриптовые интерпретаторы
  • локальный прокси на адресе localhost:9050
  • команды захвата экрана в PowerShell
  • проверка буфера обмена и замена адресов кошельков

Microsoft Defender for Endpoint помечает компоненты Crypto Clipper как подозрительные JavaScript-процессы и вероятные утечки данных через Curl. В антивирусной классификации Microsoft Defender этот набор проходит как Trojan:Win32/CryptoBandits.A. По нашим данным, для корпоративной защиты это важнее самой кражи криптовалюты: USB-распространение и Tor-трафик делают атаку пригодной и для изолированных рабочих станций, где браузерная телеметрия бесполезна.

Интерес к таким инструментам держится на объёме рынка. По оценке Chainalysis, доходы криптовалютных мошеннических схем в 2024 году составили не менее $9,9 млрд, и итоговая цифра обычно растёт после пересмотра адресов и транзакций. Для защитных решений это означает, что клипперы и стилеры останутся массовым классом угроз, особенно там, где сотрудники всё ещё используют съёмные носители.

Источник: 3dnews
А вот ещё материалы по теме:
Максим Третьяков
Технический обозреватель, пишет в основном про рынок мобильных телефонов и автомобильные технологии. Максим подготовил 740 материалов, в которых анализирует запуск флагманских линеек смартфонов (включая бренды Xiaomi и Apple), развитие нейросетевых функций в потребительских гаджетах и актуальное состояние отечественного автопрома. Его экспертиза охватывает как аппаратные новинки — от концептов видеокарт до умных колец, — так и правовые аспекты технологического рынка.

Leave a reply