Майкрософт обнаружила Ю-эс-би-червя для кражи криптовалют

Майкрософт обнаружила Ю-эс-би-червя для кражи криптовалют: вредоносная программа Крипто Клиппер распространяется через съемные носители, следит за буфером обмена на персональном компьютере и может передавать похищенные данные через сеть Тор.

Как заражается компьютер через ю-эс-би-флеш-накопитель

По данным специалистов Майкрософт, атака начинается с вредоносных файлов-ярлыков формата «эл-эн-ка», которые злоумышленники размещают на съемных носителях. Когда такой ю-эс-би-флеш-накопитель подключают к компьютеру, компьютерная программа проверяет, есть ли в системе ее компоненты, а затем при необходимости скачивает дополнительные модули.

Для связи с операторами атаки Крипто Клиппер использует скрытый канал на базе локального клиента сети Тор и прокси-сервера. Такой подход помогает вредоносу маскировать сетевую активность и мешает быстро понять, куда именно уходят данные.

Почему Крипто Клиппер сложнее отследить

В отличие от многих современных угроз, это программное обеспечение не опирается на привычный сервер управления. Вместо классической схемы, где сервер как программное обеспечение принимает команды и передает их зараженным устройствам, вредонос действует через анонимизированную сеть Тор.

Использование сети Тор затрудняет расследование: специалистам сложнее определить источник атаки, проследить маршруты соединений и отличить опасный трафик от обычной активности Виндоус.

Что именно крадет вредоносная программа

Главная цель Крипто Клиппер — криптовалюта и данные, связанные с кошельками пользователей. После попадания в систему программа начинает отслеживать буфер обмена, выискивая адреса кошельков, сид-фразы для восстановления доступа и другую информацию, которая может помочь атакующим получить контроль над цифровыми активами.

Последствия для владельца могут быть серьезными: потеря средств, утечка личных данных и потеря контроля над кошельком. Если у злоумышленников окажется сид-фраза, восстановить доступ к активам может уже не получиться.

Если пользователь копирует адрес для перевода, Клиппер способен подменить его на реквизиты злоумышленников. В результате средства, включая биткоин и другие цифровые валюты, могут уйти не получателю, а на кошелек атакующих, причем владелец может заметить подмену слишком поздно.

Кроме перехвата текста, вредоносное программное обеспечение делает серию снимков экрана. Так атакующие получают контекст действий пользователя: какие операции он выполняет, какие окна открыты и как именно он работает с криптовалютными сервисами.

Маскировка под обычные файлы и риск для пользователей Виндоус

Майкрософт отмечает, что Крипто Клиппер старается выглядеть безобидно. Его файлы получают названия, похожие на обычные объекты на ю-эс-би-носителе. Из-за этого угрозу сложнее заметить не только обычному пользователю, но и системному администратору.

Какие меры безопасности рекомендует Майкрософт

Чтобы снизить риск заражения с ю-эс-би-носителей, стоит соблюдать несколько правил:

• Использовать антивирусную программу и держать системную защиту включенной.
• Проверять съемные носители перед открытием файлов.
• Внимательно относиться к ярлыкам на флешках, особенно если они выглядят как обычные документы или папки.
• Не запускать подозрительные файлы вручную.
• Использовать Майкрософт Дефендер Антивирус и Защитник Виндоус для обнаружения подобных угроз.

Опасность этой угрозы в том, что она совмещает несколько функций сразу:

• Шпионское программное обеспечение.
• Удаленное выполнение команд.
• Перехват данных.
• Скрытая передача информации.

По сути, это не просто отдельный вирус, а комплексный инструмент для кражи криптовалютных активов.

Какие названия и термины могут встретиться при проверке системы

Основные названия и термины при проверке системы:

• Майкрософт — компания, специалисты которой обнаружили угрозу.
• Тор — анонимизированная сеть, через которую вредонос передает похищенные данные.
• Крипто Клиппер — вредоносная программа, которая следит за буфером обмена и может подменять адреса кошельков.
• Клиппер — краткое название того же вредоноса.
• Виндоус — система, в которой специалисты ищут следы заражения.
• Майкрософт Дефендер Антивирус и Защитник Виндоус — средства защиты, которые помогают обнаруживать подобные угрозы.
• Программный интерфейс Виндоус и курл — технические названия, которые могут встретиться при разборе подобных атак.
• Прокси-сервер и протокол передачи данных — элементы скрытого канала связи с операторами атаки.
• Спайвар — обозначение шпионского программного обеспечения.

Отдельно могут встретиться совпадения по названию: Дефендер в футболе, Дефендер как игра, Майкрософт Эксель и Спейс-икс. С самой атакой они не связаны.

Ранее Майкрософт также признала массовую ошибку в июньском обновлении Виндоус.