Специалисты Microsoft обнаружили новое вредоносное ПО Crypto Clipper, распространяемое через USB-накопители, способное перехватывать данные из буфера обмена и использовать анонимизированную сеть Tor для связи с операторами атаки. Об этом сообщает Ars Technica.
По данным компании, заражение начинается с вредоносных файлов-ярлыков формата «.lnk», размещенных на съемных носителях. После подключения такого устройства к компьютеру программа проверяет наличие своих компонентов в системе и при необходимости загружает дополнительные модули через скрытый канал связи на базе локального Tor-клиента и SOCKS5-прокси.
В отличие от многих современных вредоносных программ, Crypto Clipper не использует традиционные серверы управления и контроля (C2). Вместо этого взаимодействие с инфраструктурой злоумышленников осуществляется через Tor, что существенно усложняет выявление источников атак и анализ сетевой активности.
Основной целью вредоносного ПО являются криптовалютные данные пользователей. После проникновения в систему программа начинает отслеживать содержимое буфера обмена, выявляя криптовалютные адреса и seed-фразы, используемые для восстановления доступа к кошелькам. Обнаруженные данные автоматически передаются злоумышленникам.
Кроме того, вредоносное ПО осуществляет серию снимков экрана, фиксируя действия пользователя и контекст операций с цифровыми активами. Также Crypto Clipper способен заменять скопированные криптовалютные адреса на реквизиты, подконтрольные атакующим, что позволяет перенаправлять средства при совершении транзакций без ведома владельца кошелька.
Microsoft отмечает, что программа использует методы маскировки, присваивая своим файлам имена, схожие с легитимными объектами на USB-носителях. Такое поведение затрудняет обнаружение угрозы как пользователями, так и администраторами систем. По оценке компании, сочетание функций шпионского ПО, удаленного выполнения команд, перехвата данных и анонимной передачи информации делает Crypto Clipper одной из наиболее комплексных угроз для владельцев криптовалют.
Ранее Microsoft признала массовую ошибку в июньском обновлении Windows.
