Microsoft обнаружила вирус, распространяющийся через USB-накопители и нацеленный на крипто-кошельки пользователей Windows. По данным компании, заражения идут с февраля. Вредонос, названный «крипто-клипер», выкрадывает приватные ключи из буфера обмена и подменяет адреса получателей платежей на адреса злоумышленника — жертва не замечает подмены.
Как работает атака
Вирус, который Microsoft Defender распознаёт как Trojan:Win32/CryptoBandits, попадает на компьютер через заражённую флешку. Носитель содержит вредоносный файл с расширением .lnk (ярлык Windows). Когда пользователь вставляет флешку и кликает на ярлык, на ПК устанавливается червь.
Установленный червь работает в два этапа. Сначала он мониторит буфер обмена Windows примерно каждые 500 миллисекунд в поиске фраз восстановления кошелька и приватных ключей биткоина или эфириума. Когда пользователь копирует такие данные, вирус перехватывает их и отправляет на сервер злоумышленника через анонимную сеть Tor. Одновременно он делает пять снимков экрана с интервалом в 10 секунд и отправляет их вместе с украденными ключами.
Вторая опасность: если пользователь копирует адрес для отправки средств, червь незаметно подменяет его на адрес, контролируемый атакующим. Платёж уходит врагу без видимых признаков подмены.
Автоматическое распространение
Когда к заражённому компьютеру подключают чистую флешку, червь сканирует её содержимое, находит обычные файлы (документы Word, таблицы Excel, PDF) и заменяет их ярлыками с идентичными названиями, но содержащими вредонос. Цикл повторяется: флешка становится источником заражения для следующего ПК.
Рекомендации Microsoft
Компания посоветовала отключить автозапуск для съёмных носителей, заблокировать выполнение файлов .lnk на USB-дисках через групповые политики и ограничить доступ к интерпретаторам скриптов вроде wscript.exe и cscript.exe. Пользователи Microsoft Defender могут проверить сети на предмет активности вируса, включая подключения к локальному узлу Tor на порту 9050.
Microsoft опубликовала список индикаторов компрометации — хеши файлов и .onion-домены команд управления — чтобы команды безопасности могли проверить свои сети.