Microsoft обнаружила USB-червя, который крадет криптовалюту через захват буфера обмена и Tor

      TL;DRMicrosoft обнаружила USB-червя, активного с февраля, который перехватывает буферы обмена для замены адресов криптокошельков и направляет украденные данные через портативный Tor-клиент. Microsoft Threat Intelligence выявила новую разновидность саморазмножающегося вредоносного ПО, которое распространяется через USB-накопители, отслеживает буфер обмена Windows на наличие адресов криптокошельков и фраз восстановления, а также направляет все украденные данные через портативный Tor-клиент, чтобы избежать обнаружения. По данным анализа Microsoft, опубликованного на этой неделе, кампания активна как минимум с февраля 2026 года. Вредоносное ПО, которое Microsoft определяет как Trojan:Win32/CryptoBandits.A, работает как классический USB-червь с современным полезным грузом. Когда пользователь подключает зараженный накопитель, он видит то, что кажется его обычными документами. Оригиналы были скрыты, заменены файлами ярлыков Windows (.lnk) с теми же именами, которые бесшумно запускают вредоносное ПО при открытии. Файлы .lnk сканируют накопитель на наличие документов с расширениями .doc, .xlsx и .pdf, скрывают оригиналы и создают соответствующие файлы ярлыков на их месте. Компонент червя также записывает себя на любой новый USB-накопитель, подключенный к зараженной машине, что позволяет ему распространяться дальше без действий пользователя, кроме открытия того, что выглядит как обычный файл. 💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! После запуска на системе вредоносное ПО разворачивает портативный Tor-клиент, переименованный в ugate.exe, и настраивает прокси SOCKS5 на локальном порту 9050. Весь трафик командного и контрольного управления затем проходит через сеть .onion Tor, что значительно усложняет перехват или отслеживание коммуникаций корпоративными брандмауэрами и средствами безопасности. Инфраструктура C2 использует три конечных пути: /route.php для проверки, /recvf.php для загрузки украденных файлов и /stub.php для загрузки дополнительных полезных грузов. Мониторинг буфера обмена является основным механизмом кражи данных вредоносного ПО. Оно проверяет буфер обмена Windows примерно каждые 500 миллисекунд, ища шаблоны, соответствующие адресам криптокошельков или фразам восстановления. Когда оно обнаруживает совпадение, оно бесшумно заменяет скопированный адрес на контролируемый злоумышленником, так что жертва неосознанно отправляет средства на неправильный кошелек. Вредоносное ПО нацелено на шесть криптовалют в различных форматах адресов. Для Bitcoin оно распознает старые адреса, начинающиеся с "1", адреса Pay-to-Script-Hash, начинающиеся с "3", нативные адреса SegWit, начинающиеся с "bc1q", и адреса Taproot, начинающиеся с "bc1p". Оно также нацелено на адреса Tron, начинающиеся с "T", и адреса Monero, начинающиеся с "4" или "8". Перехват буфера обмена для кражи криптовалюты не ограничивается Windows, с Android-троянами, такими как Rokarolla, использующими ту же технику для перенаправления крипто-платежей на мобильных устройствах. Кроме адресов кошельков, вредоносное ПО сканирует содержимое буфера обмена на наличие фраз восстановления BIP39, 12- или 24-словных ключей восстановления, которые предоставляют полный доступ к криптокошельку. Оно также извлекает приватные ключи Ethereum и ключи формата импорта кошелька Bitcoin (WIF). Захват фразы восстановления или приватного ключа дает злоумышленникам полный контроль над связанным кошельком, а не только возможность перенаправить одну транзакцию. Вредоносное ПО включает модуль наблюдения, который захватывает пять скриншотов за десятисекундный интервал, упаковывая их для загрузки на сервер C2. Это дает операторам визуальную запись того, что жертва делала в момент заражения, потенциально раскрывая дополнительные учетные данные, открытые вкладки браузера или финансовые панели. Команда под названием EVAL позволяет операторам C2 отправлять и выполнять произвольный код на зараженных машинах, превращая кражу криптовалюты в инструмент удаленного доступа общего назначения. Microsoft отмечает, что эта возможность означает, что злоумышленники могут адаптировать поведение вредоносного ПО после развертывания, не требуя повторного заражения цели. Вредоносное ПО использует несколько уровней уклонения. Начальный установщик является исполняемым файлом на основе Python, запутанным с помощью PyArmor и упакованным с помощью PyInstaller, что затрудняет статический анализ. Полезные грузы JavaScript, сбрасываемые в C:UsersPublicDocuments, используют отдельную схему двойного уровня запутывания. В качестве меры против анализа вредоносное ПО проверяет, запущен ли Диспетчер задач, и выходит, если обнаруживает процесс, что является базовым, но эффективным способом затруднить случайное расследование. Использование Tor для коммуникаций C2 отражает более широкое изменение в инфраструктуре вредоносного ПО в сторону анонимизационных сетей, которые сопротивляются усилиям по их отключению. Традиционное вредоносное ПО, которое полагается на фиксированные домены или IP-адреса, может быть нарушено, когда защитники захватывают эти активы. Каналы C2 на основе Tor значительно сложнее закрыть, потому что адреса .onion не привязаны к какому-либо регистратору или хостинг-провайдеру, которые могут быть принуждены к действию. Microsoft рекомендует несколько мер по смягчению последствий, начиная с отключения AutoRun и AutoPlay, чтобы предотвратить автоматическое выполнение при подключении USB-накопителей. Политика групп может быть настроена для блокировки выполнения файлов .lnk на съемных носителях, а ограничение wscript.exe и cscript.exe с помощью политик управления приложениями предотвращает выполнение полезных грузов на основе JavaScript. Мониторинг сети для соединений с локальным портом 9050 может сигнализировать о машинах, на которых был установлен портативный Tor-клиент. Вредоносное ПО, передаваемое через USB, в значительной степени вышло из поля зрения безопасности, поскольку облачное хранилище и инструменты для совместной работы снизили зависимость от физических накопителей. Но атаки на цепочку поставок и эксплуатация доверия остаются эффективными именно потому, что они нацелены на поведение, которое пользователи считают рутинным, будь то подключение USB-накопителя или установка пакета из знакомого репозитория. Microsoft опубликовала индикаторы компрометации SHA-256, сопоставления техник MITRE ATT&CK и запросы охоты KQL в своем блоге, чтобы помочь командам безопасности обнаружить существующие инфекции. Компания сообщает, что Microsoft Defender обнаруживает семейство вредоносного ПО, и команда Defender Experts помогла в расследовании. Microsoft не приписала кампанию конкретному злоумышленнику и не оценила количество инфекций.