Майкрософт обнаружила Ю-эс-би-червя для кражи криптовалют: вредоносная программа Крипто Клиппер распространяется через съемные носители, следит за буфером обмена на персональном компьютере и может передавать похищенные данные через сеть Тор.
Как заражается компьютер через ю-эс-би-флеш-накопитель
По данным специалистов Майкрософт, атака начинается с вредоносных файлов-ярлыков формата «эл-эн-ка», которые злоумышленники размещают на съемных носителях. Когда такой ю-эс-би-флеш-накопитель подключают к компьютеру, компьютерная программа проверяет, есть ли в системе ее компоненты, а затем при необходимости скачивает дополнительные модули.
Для связи с операторами атаки Крипто Клиппер использует скрытый канал на базе локального клиента сети Тор и прокси-сервера. Такой подход помогает вредоносу маскировать сетевую активность и мешает быстро понять, куда именно уходят данные.
Почему Крипто Клиппер сложнее отследить
В отличие от многих современных угроз, это программное обеспечение не опирается на привычный сервер управления. Вместо классической схемы, где сервер как программное обеспечение принимает команды и передает их зараженным устройствам, вредонос действует через анонимизированную сеть Тор.
Использование сети Тор затрудняет расследование: специалистам сложнее определить источник атаки, проследить маршруты соединений и отличить опасный трафик от обычной активности Виндоус.
Что именно крадет вредоносная программа
Главная цель Крипто Клиппер — криптовалюта и данные, связанные с кошельками пользователей. После попадания в систему программа начинает отслеживать буфер обмена, выискивая адреса кошельков, сид-фразы для восстановления доступа и другую информацию, которая может помочь атакующим получить контроль над цифровыми активами.
Последствия для владельца могут быть серьезными: потеря средств, утечка личных данных и потеря контроля над кошельком. Если у злоумышленников окажется сид-фраза, восстановить доступ к активам может уже не получиться.
Если пользователь копирует адрес для перевода, Клиппер способен подменить его на реквизиты злоумышленников. В результате средства, включая биткоин и другие цифровые валюты, могут уйти не получателю, а на кошелек атакующих, причем владелец может заметить подмену слишком поздно.
Кроме перехвата текста, вредоносное программное обеспечение делает серию снимков экрана. Так атакующие получают контекст действий пользователя: какие операции он выполняет, какие окна открыты и как именно он работает с криптовалютными сервисами.
Маскировка под обычные файлы и риск для пользователей Виндоус
Майкрософт отмечает, что Крипто Клиппер старается выглядеть безобидно. Его файлы получают названия, похожие на обычные объекты на ю-эс-би-носителе. Из-за этого угрозу сложнее заметить не только обычному пользователю, но и системному администратору.
Какие меры безопасности рекомендует Майкрософт
Чтобы снизить риск заражения с ю-эс-би-носителей, стоит соблюдать несколько правил:
- Использовать антивирусную программу и держать системную защиту включенной.
- Проверять съемные носители перед открытием файлов.
- Внимательно относиться к ярлыкам на флешках, особенно если они выглядят как обычные документы или папки.
- Не запускать подозрительные файлы вручную.
- Использовать Майкрософт Дефендер Антивирус и Защитник Виндоус для обнаружения подобных угроз.
Опасность этой угрозы в том, что она совмещает несколько функций сразу:
- Шпионское программное обеспечение.
- Удаленное выполнение команд.
- Перехват данных.
- Скрытая передача информации.
По сути, это не просто отдельный вирус, а комплексный инструмент для кражи криптовалютных активов.
Какие названия и термины могут встретиться при проверке системы
Основные названия и термины при проверке системы:
- Майкрософт — компания, специалисты которой обнаружили угрозу.
- Тор — анонимизированная сеть, через которую вредонос передает похищенные данные.
- Крипто Клиппер — вредоносная программа, которая следит за буфером обмена и может подменять адреса кошельков.
- Клиппер — краткое название того же вредоноса.
- Виндоус — система, в которой специалисты ищут следы заражения.
- Майкрософт Дефендер Антивирус и Защитник Виндоус — средства защиты, которые помогают обнаруживать подобные угрозы.
- Программный интерфейс Виндоус и курл — технические названия, которые могут встретиться при разборе подобных атак.
- Прокси-сервер и протокол передачи данных — элементы скрытого канала связи с операторами атаки.
- Спайвар — обозначение шпионского программного обеспечения.
Отдельно могут встретиться совпадения по названию: Дефендер в футболе, Дефендер как игра, Майкрософт Эксель и Спейс-икс. С самой атакой они не связаны.
Ранее Майкрософт также признала массовую ошибку в июньском обновлении Виндоус.
Новости о биткоин, блокчейне и криптовалютах
Автор: Сoinspot