Microsoft обнаружила USB-червя, который крадет криптовалюту через перехват буфера обмена и Tor

      TL;DRMicrosoft обнаружила USB-червя, активного с февраля, который перехватывает буфер обмена для замены адресов криптовалютных кошельков и перенаправляет украденные данные через портативный Tor-клиент. Microsoft Threat Intelligence выявила новую разновидность саморазмножающегося вредоносного ПО, которое распространяется через USB-накопители, отслеживает буфер обмена Windows на предмет адресов криптовалютных кошельков и фраз восстановления, а также перенаправляет все украденные данные через портативный Tor-клиент, чтобы избежать обнаружения. По данным анализа Microsoft, опубликованного на этой неделе, кампания активна как минимум с февраля 2026 года. Вредоносное ПО, которое Microsoft определяет как Trojan:Win32/CryptoBandits.A, работает как классический USB-червь с современным полезным грузом. Когда пользователь подключает зараженный накопитель, он видит то, что кажется его обычными документами. Оригиналы были скрыты, заменены файлами ярлыков Windows (.lnk) с теми же именами, которые бесшумно выполняют вредоносное ПО при открытии. Файлы .lnk сканируют накопитель на наличие документов с расширениями .doc, .xlsx и .pdf, скрывают оригиналы и создают соответствующие файлы ярлыков на их месте. Компонент червя также записывает себя на любой новый USB-накопитель, подключенный к зараженной машине, что позволяет ему распространяться дальше без действий пользователя, кроме открытия того, что выглядит как обычный файл. 💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! После запуска на системе вредоносное ПО разворачивает портативный Tor-клиент, переименованный в ugate.exe, и настраивает SOCKS5-прокси на локальном порту 9050. Весь трафик командного управления затем проходит через сеть .onion Tor, что значительно усложняет корпоративным брандмауэрам и средствам безопасности перехват или отслеживание коммуникаций. Инфраструктура C2 использует три конечных пути: /route.php для проверок, /recvf.php для загрузки украденных файлов и /stub.php для загрузки дополнительных полезных грузов. Мониторинг буфера обмена является основным механизмом кражи данных вредоносного ПО. Оно проверяет буфер обмена Windows примерно каждые 500 миллисекунд, ища шаблоны, соответствующие адресам криптовалютных кошельков или фразам восстановления. Когда оно обнаруживает совпадение, оно бесшумно заменяет скопированный адрес на контролируемый злоумышленником, так что жертва неосознанно отправляет средства на неправильный кошелек. Вредоносное ПО нацелено на шесть криптовалют в различных форматах адресов. Для Bitcoin оно распознает старые адреса, начинающиеся с "1", адреса Pay-to-Script-Hash, начинающиеся с "3", нативные адреса SegWit, начинающиеся с "bc1q", и адреса Taproot, начинающиеся с "bc1p". Оно также нацелено на адреса Tron, начинающиеся с "T", и адреса Monero, начинающиеся с "4" или "8". Перехват буфера обмена для кражи криптовалюты не ограничивается Windows, с Android-троянами, такими как Rokarolla, использующими ту же технику для перенаправления крипто-платежей на мобильных устройствах. Кроме адресов кошельков, вредоносное ПО сканирует содержимое буфера обмена на наличие фраз восстановления BIP39, 12- или 24-словных ключей восстановления, которые предоставляют полный доступ к криптовалютному кошельку. Оно также извлекает приватные ключи Ethereum и ключи формата импорта кошелька Bitcoin (WIF). Захват фразы восстановления или приватного ключа дает злоумышленникам полный контроль над связанным кошельком, а не только возможность перенаправить одну транзакцию. Вредоносное ПО включает модуль наблюдения, который захватывает пять скриншотов за десятисекундный интервал, упаковывая их для загрузки на сервер C2. Это дает операторам визуальную запись того, что жертва делала в момент заражения, потенциально раскрывая дополнительные учетные данные, открытые вкладки браузера или финансовые панели. Команда под названием EVAL позволяет операторам C2 загружать и выполнять произвольный код на зараженных машинах, превращая кражу криптовалюты в универсальный инструмент удаленного доступа. Microsoft отмечает, что эта возможность означает, что злоумышленники могут адаптировать поведение вредоносного ПО после развертывания, не требуя повторного заражения цели. Вредоносное ПО использует несколько уровней уклонения. Начальный установщик является исполняемым файлом на основе Python, обфусцированным с помощью PyArmor и упакованным с помощью PyInstaller, что затрудняет статический анализ. Полезные грузы JavaScript, сброшенные в C:UsersPublicDocuments, используют отдельную схему двойной обфускации. В качестве меры против анализа вредоносное ПО проверяет, запущен ли Диспетчер задач, и выходит, если обнаруживает процесс, что является базовым, но эффективным способом затруднить случайное расследование. Использование Tor для коммуникаций C2 отражает более широкий сдвиг в инфраструктуре вредоносного ПО в сторону анонимизационных сетей, которые сопротивляются усилиям по их закрытию. Традиционное вредоносное ПО, которое полагается на фиксированные домены или IP-адреса, может быть нарушено, когда защитники захватывают эти активы. Каналы C2 на основе Tor значительно труднее закрыть, поскольку адреса .onion не привязаны к какому-либо регистратору или хостинг-провайдеру, которые могут быть принуждены к действию. Microsoft рекомендует несколько мер по смягчению последствий, начиная с отключения AutoRun и AutoPlay, чтобы предотвратить автоматическое выполнение при подключении USB-накопителей. Групповая политика может быть настроена для блокировки выполнения файлов .lnk на съемных носителях, а ограничение wscript.exe и cscript.exe с помощью политик управления приложениями предотвращает выполнение полезных грузов на основе JavaScript. Мониторинг сети на предмет соединений с локальным портом 9050 может сигнализировать о машинах, на которых был установлен портативный Tor-клиент. Вредоносное ПО, передаваемое через USB, в значительной степени вышло из центра внимания безопасности, поскольку облачное хранилище и инструменты совместной работы уменьшили зависимость от физических накопителей. Но атаки на цепочку поставок и эксплуатация доверия остаются эффективными именно потому, что они нацелены на поведение, которое пользователи считают рутинным, будь то подключение USB-накопителя или установка пакета из знакомого репозитория. Microsoft опубликовала индикаторы компрометации SHA-256, сопоставления техник MITRE ATT&CK и запросы охоты KQL в своем блоге, чтобы помочь командам безопасности обнаружить существующие инфекции. Компания заявляет, что Microsoft Defender обнаруживает семейство вредоносного ПО, и команда Defender Experts помогла в расследовании. Microsoft не приписала кампанию конкретному злоумышленнику и не оценила количество инфекций.