Microsoft повідомила про виявлення нового типу шкідливого програмного забезпечення, яке активно полює на криптовалютні дані користувачів. Шкідник отримав назву Crypto Clipper і поєднує одразу кілька методів прихованого стеження, викрадення інформації та дистанційного керування зараженими пристроями.
На перший погляд, це звичайний “стілер”, однак його можливості значно ширші. Malware поширюється через заражені USB-накопичувачі, використовуючи файли ярликів .lnk, які можуть містити виконуваний код. Після підключення такого носія до комп’ютера шкідлива програма перевіряє, чи вже встановлена вона в системі, і якщо ні — завантажує себе через приховані канали.
Як працює Crypto Clipper
Головна мета вірусу — криптовалютні дані користувачів. Він непомітно аналізує вміст буфера обміну (clipboard), шукаючи:
- адреси криптогаманців
- seed-фрази (12 або 24 слова)
Як тільки такі дані виявляються, вірус миттєво перехоплює їх і передає на сервери зловмисників. Крім того, Crypto Clipper робить серію зі п’яти скріншотів за 10 секунд, щоб отримати додатковий контекст дій користувача.
Прихованість через Tor
Особливу небезпеку становить спосіб маскування трафіку. Шкідник використовує:
- мережу Tor для анонімної передачі даних
- локальний SOCKS5-проксі для маршрутизації запитів
Це дозволяє приховати як джерело, так і кінцеву точку передачі даних, ускладнюючи відстеження атакуючих.
Microsoft зазначає, що Crypto Clipper не потребує класичної інфраструктури керування (C2-серверів), що робить його особливо “легким”, але водночас ефективним.
Додаткові можливості атаки
Окрім крадіжки даних, вірус здатний:
- замінювати криптоадреси в буфері обміну на адреси атакуючих
- перенаправляти платежі на чужі гаманці
- виконувати віддалені команди на зараженому пристрої
Фактично це перетворює Crypto Clipper на повноцінний бекдор із фінансовою мотивацією.
Як розпізнати зараження
Microsoft Defender уже класифікує компоненти загрози як шкідливі процеси. Серед ознак зараження:
- підозрілі скрипти та дочірні процеси
- використання локального проксі
localhost:9050 - команди для знімків екрана через PowerShell
- аналіз буфера обміну
- підміна криптовалютних адрес
Crypto Clipper показує новий рівень еволюції шкідливого ПЗ: воно стає легшим, прихованішим і водночас значно небезпечнішим. Поєднання USB-розповсюдження, криптокрадіжок і анонімних мереж робить такі атаки особливо складними для виявлення. Експерти наголошують: навіть один підключений невідомий USB-накопичувач сьогодні може стати точкою входу для повноцінної кібератаки.
Джерело: portaltele.com.ua