Microsoft обнаружила, что Windows Crypto Clipper крадет сид-фразы, ключи и кошельки через Tor и USB-накопители

Компания Microsoft обнаружила вредоносную программу, которая незаметно работает с февраля и нацелена на компьютеры под управлением Windows. Эта вредоносная программа, получившая название CryptoBandits, может красть сид-фразы, ключи и кошельки через сеть Tor и распространяется через USB-накопители. 

В сообщении в блоге, опубликованном 17 июня, эксперты Microsoft Threat Intelligence и Microsoft Defender раскрыли вредоносную кампанию, которая незаметно для жертв опустошала криптовалютные кошельки. Эксперты Microsoft по безопасности описали сочетание устаревших методов распространения вредоносных программ через USB-накопители и современных инструментов анонимизации, благодаря которым вредоносная программа оставалась незамеченной в течение нескольких месяцев.

По словам исследователей, вредоносная кампания могла в одной программе осуществлять кражу данных из буфера обмена, подмену адреса кошелька, распространение вредоносного кода по типу червя и обмен данными через Tor. Программа также сохраняла доступ к локальному компьютеру еще долго после выполнения вредоносного кода. 

Microsoft объясняет, как происходит заражение

В подробном сообщении в блоге Microsoft было указано, что заражение началось старым проверенным способом — через USB-накопитель. Затем вредоносная программа получала доступ к файлам ярлыков, помещенным на съемные носители. После подключения к компьютеру компонент червя активируется немедленно. 

Компонент червя ищет на устройстве обычные файлы, такие как DOC-документы, электронные таблицы и PDF-файлы, скрывает настоящие и заменяет их поддельными ярлыками с теми же именами. После этого ничего не подозревающие пользователи Windows щелкают по ярлыкам, думая, что открывают обычный файл Word или Excel, но вместо этого действие запускает вредоносное ПО.

Затем вредоносная программа распространяется на USB-накопитель компьютера, устанавливает запланированные задачи для обеспечения своей работы после перезагрузки и исключается из сканирования Microsoft Defender. 

Когда на втором этапе активируется сам клиппер, скриптовая полезная нагрузка использует Windows ScriptHost и объекты ActiveX, а не обычный установщик, что делает её обнаружение крайне сложным. 

После завершения всех настроек вредоносная программа запускает клиент Tor в скрытом окне, генерирует уникальный идентификатор жертвы и регистрируется на сервере управления, скрытом за адресом Tor onion. Таким образом, вредоносная программа может успешно передавать информацию по этому скрытому каналу, оставаясь незамеченной. 

Microsoft объясняет, почему это вредоносное ПО сложнее обнаружить

Команда безопасности Microsoft объяснила, что вредоносная программа зацикливается, опрашивая своих операторов и сканируя буфер обмена примерно каждые полсекунды. Программа специально разработана для распознавания сид-фраз BIP39, состоящих из 12 или 24 слов. 

Вредоносная программа сканирует Ethereum и Bitcoin в формате WIF, сохраняет локальную резервную копию и рассылает её на сервер злоумышленников через сеть Tor. Она разработана таким образом, чтобы повторять одну и ту же последовательность действий несколько раз, пока отправка не будет успешной. Затем программа удаляет локальную копию только после успешной отправки и делает множество скриншотов каждую секунду, предоставляя злоумышленникам визуальное представление баланса и активности кошелька жертвы. 

Если в буфере обмена появляется адрес кошелька, вредоносная программа может заменить его адресом, контролируемым злоумышленником, прежде чем жертва его вставит. Скопируйте Bitcoin адрес для отправки платежа, и то, что фактически окажется в поле получателя, может принадлежать совершенно другому человеку.

Антивирус Microsoft Defender теперь помечает угрозу как Trojan:Win32/CryptoBandits.A, а Defender for Endpoint отслеживает такие действия, как подозрительные процессы JavaScript и утечка данных с помощью curl.