Microsoft обнаружила USB-червя Crypto Clipper, который крадёт криптокошельки через буфер обмена и скрытую Tor-сеть

Microsoft сообщила о выявлении нового типа самораспространяющегося вредоносного ПО под названием Crypto Clipper, которое распространяется через USB-накопители и нацелено на кражу криптовалютных данных пользователей, включая seed-фразы и адреса кошельков.

Механизм заражения начинается с файлов ярлыков .lnk на USB-дисках. При подключении заражённого носителя к системе вредоносный код активируется и проверяет наличие себя на устройстве. Если компонент отсутствует, то он загружается через скрытый канал связи, использующий локальный клиент сети Tor [The Onion Router — сеть анонимной маршрутизации, направляющая трафик через цепочку узлов для сокрытия источника и назначения данных] и SOCKS5-прокси — протокол, позволяющий перенаправлять сетевой трафик через промежуточный сервер.

Ключевая особенность Crypto Clipper — отказ от традиционной серверной инфраструктуры управления (C2, command-and-control). Вместо этого вредоносное ПО использует локальный Tor-клиент, что затрудняет отслеживание источников команд и утечки данных.

Изображение сгенерировано: Nano Banana

После заражения система начинает мониторинг буфера обмена пользователя. Если обнаруживаются строки, похожие на криптовалютные адреса или seed-фразы из 12 или 24 слов, то они автоматически перехватываются и отправляются злоумышленникам. Параллельно программа делает серию из пяти скриншотов за 10 секунд, чтобы зафиксировать контекст действий пользователя.

Дополнительно Crypto Clipper способен подменять обнаруженные криптоадреса на адреса, контролируемые атакующими, что позволяет перенаправлять транзакции напрямую в чужие кошельки без ведома пользователя.

По данным Microsoft, вредоносное ПО также маскирует своё присутствие, присваивая файлам на USB-накопителях имена, похожие на легитимные, чтобы усложнить обнаружение.

Компания отмечает, что сочетание перехвата данных из буфера обмена, захвата экрана, удалённого выполнения команд и анонимизированной сети передачи данных делает эту угрозу особенно опасной: она сочетает функции шпионского ПО и инструмента удалённого контроля над заражённой системой.

Для защиты Microsoft Defender классифицирует компоненты Crypto Clipper как подозрительные JavaScript-процессы и потенциальные утечки данных через curl. Антивирус Microsoft Defender фиксирует угрозу как Trojan: Win32/CryptoBandits.A.

К косвенным признакам заражения относятся запуск скриптовыми интерпретаторами подозрительных дочерних процессов, использование локального прокси на порту 9050, попытки захвата экрана через PowerShell и активность, связанная с анализом буфера обмена или подменой криптоадресов.

©  iXBT