A Microsoft detectou que o Crypto Clipper do Windows rouba frases-semente, chaves e carteiras por meio do Tor e de unidades USB

A Microsoft identificou um programa malicioso que opera silenciosamente desde fevereiro e tem como alvo máquinas Windows. O programa malicioso, apelidado de CryptoBandits, pode roubar frases-semente, chaves e carteiras por meio da rede Tor e pode ser transferido via pen drives. 

Em uma postagem publicada em 17 de junho, especialistas em Inteligência de Ameaças da Microsoft e no Microsoft Defender expuseram uma campanha maliciosa que estava drenando carteiras de criptomoedas sem que as vítimas percebessem. Os especialistas em segurança da Microsoft descreveram uma combinação de táticas antigas de worms USB e ferramentas modernas de anonimato que tornaram o programa malicioso indetectável por meses.

Segundo os pesquisadores, a campanha maliciosa era capaz de executar roubo de área de transferência, substituição de endereços de carteira, propagação semelhante a um worm e comunicação baseada em Tor, tudo em um único programa. O programa também mantinha acesso à máquina local mesmo após a execução do código malicioso. 

A Microsoft explica como a infecção ocorre

A publicação detalhada no blog da Microsoft revelou que a infecção começou da maneira tradicional, por meio de um pen drive. O malware então acessava arquivos de atalho colocados em unidades removíveis. Assim que conectado a um computador, o componente do worm era ativado imediatamente. 

O componente do worm localiza arquivos comuns, como documentos DOC, planilhas e PDFs, no dispositivo, oculta os arquivos reais e os substitui por atalhos falsos com os mesmos nomes. Feito isso, os usuários desavisados ​​do Windows clicam nos atalhos, pensando que estão abrindo um arquivo típico do Word ou do Excel, mas, em vez disso, a ação aciona o malware.

O malware então se espalha para a unidade USB da máquina e configura tarefas agendadas para mantê-lo em execução após a reinicialização, além de se excluir das verificações do Microsoft Defender. 

Quando o programa de remoção de código é ativado na segunda fase, a carga útil baseada em script utiliza o Windows ScriptHost e objetos ActiveX em vez de um instalador típico, tornando-a extremamente difícil de detectar. 

Uma vez que tudo esteja configurado, o malware inicia um cliente Tor em uma janela oculta e gera um ID de vítima exclusivo, registrando-se em um servidor de comando e controle oculto por trás de um endereço onion do Tor. Dessa forma, o malware consegue canalizar informações com sucesso por meio desse canal oculto sem ser detectado. 

A Microsoft explica por que esse malware é mais difícil de detectar

A equipe de segurança da Microsoft explicou que o malware entra em um loop, consultando seus operadores e verificando a área de transferência aproximadamente a cada meio segundo. O programa foi desenvolvido especificamente para reconhecer frases-semente BIP39 de 12 ou 24 palavras. 

O malware procura por Ethereum chaves Bitcoin no formato WIF, salva um backup local e o envia para o servidor dos atacantes através da rede Tor. Ele foi projetado para repetir a mesma sequência de eventos várias vezes até que o envio seja bem-sucedido. O programa então exclui a cópia local, somente após um envio bem-sucedido, e tira várias capturas de tela por segundo, fornecendo aos atacantes uma visão geral do saldo e da atividade da carteira da vítima. 

Se um endereço de carteira aparecer na área de transferência, o malware pode trocá-lo por um controlado pelo atacante antes que a vítima o cole. Copie um endereço Bitcoin para enviar um pagamento e o que realmente aparecer no campo de destino pode pertencer a outra pessoa.

O Microsoft Defender Antivirus agora identifica a ameaça como Trojan:Win32/CryptoBandits.A, e o Defender for Endpoint monitora comportamentos como processos JavaScript suspeitos e exfiltração de dados baseada em curl.