Microsoft обнаружила червя Crypto Clipper, ворующего криптовалюту через USB

Microsoft раскрыла детали нового самораспространяющегося вредоноса, который охотится за криптовалютными кошельками. Червь получил название Crypto Clipper — он распространяется через USB-накопители, перехватывает данные из буфера обмена и передаёт их злоумышленникам через анонимную сеть Tor.

Опасность этой угрозы не только в краже данных. По оценке Microsoft, вредонос фактически превращается в полноценный бэкдор с возможностью удалённого выполнения кода — при внешне скромных технических требованиях.

Как работает заражение

Первичный вектор атаки — обычная флешка. На заражённом USB-накопителе находится файл с расширением .lnk, который содержит исполняемый код. Когда пользователь подключает такой накопитель к компьютеру, файл автоматически проверяет, установлен ли вредонос на машине.

Если Crypto Clipper ещё не присутствует в системе, он загружает себя через Tor-прокси. Чтобы замаскировать следы, вредонос сканирует содержимое заражённой флешки и переименовывает свои .lnk-файлы под названия, похожие на уже существующие файлы — так подозрительные объекты труднее заметить при беглом просмотре.

После закрепления в системе Crypto Clipper начинает мониторинг буфера обмена. Он ищет паттерны, характерные для адресов криптовалютных кошельков и сид-фраз (мнемонических фраз для восстановления доступа к кошельку). При обнаружении совпадения вредонос дополнительно делает 5 скриншотов за 10 секунд — предположительно, чтобы зафиксировать контекст: какой сайт или приложение открыто в момент копирования.

Анонимность через Tor и SOCKS5

Передача похищенных данных организована так, чтобы максимально затруднить отслеживание. Вредонос разворачивает на заражённой машине портативный Tor-клиент и направляет трафик через локальный SOCKS5-прокси. Протокол SOCKS5 пересылает запросы через промежуточный сервер, а Tor добавляет поверх этого многоуровневую анонимизацию, маршрутизируя трафик через цепочку узлов.

В результате в сетевых логах не фиксируется ни IP-адрес отправителя, ни адрес сервера злоумышленника. Это принципиально отличает Crypto Clipper от большинства стилеров, которые обращаются к фиксированным командным серверам (C2) с открытыми IP-адресами.

««Выполнение этого клиппера примечательно тем, что он не зависит от традиционного установщика или C2-инфраструктуры с открытыми IP-адресами. Вместо этого он разворачивает портативный Tor-клиент, направляет трафик через локальный SOCKS5-прокси и совмещает кражу данных с удалённым выполнением кода — превращая финансово мотивированный стилер в лёгкий бэкдор», — сообщила Microsoft.»

Именно комбинация функций делает угрозу нетривиальной. Классический «клиппер» просто подменяет адрес кошелька в буфере обмена на адрес атакующего. Crypto Clipper идёт дальше: он не подменяет данные, а похищает их вместе с визуальным контекстом и при этом сохраняет канал для удалённого управления заражённой машиной.

Что это значит для пользователей криптовалют в Беларуси

Для белорусской аудитории угроза актуальна по нескольким причинам. Во-первых, USB-накопители по-прежнему широко используются в корпоративной среде и на производстве — особенно там, где политики безопасности не запрещают подключение внешних устройств. Во-вторых, интерес к криптовалютам в стране устойчив: после легализации операций с токенами в рамках Декрета №8 и деятельности резидентов ПВТ в сфере блокчейна аудитория держателей криптоактивов заметно выросла.

Практические меры защиты очевидны, но их часто игнорируют. Стоит отключить автозапуск USB-устройств на уровне групповых политик, не копировать адреса кошельков через буфер обмена на рабочих машинах и использовать аппаратные кошельки для хранения значимых сумм. Сид-фразы не должны вводиться или копироваться на устройствах, подключённых к интернету.

Microsoft не раскрыла, какие именно криптовалюты или кошельки стали основными целями Crypto Clipper, и не назвала предполагаемых авторов вредоноса. Компания опубликовала технические индикаторы компрометации (IoC) для специалистов по безопасности, которые могут использовать их в системах обнаружения угроз.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.