Компания Microsoft сообщила об обнаружении нового вредоносного ПО. Его назвали Crypto Clipper. Угроза распространяется через USB-накопители и использует сеть Tor для скрытой передачи данных. По словам представителей Microsoft, программа сочетает кражу информации с удалённым управлением заражённым устройством.
Изображение - ChatGPT
Crypto Clipper попадает на компьютер через файлы .lnk на USB-накопителе. Эти файлы содержат исполняемый код. При подключении флешки червь проверяет, установлен ли он уже на системе. Если нет — загружает свою копию через прокси-сервер Tor. Чтобы замести следы, вредоносная программа сканирует накопитель и присваивает своим файлам имена, похожие на другие.
На зараженном устройстве Crypto Clipper отслеживает буфер обмена. Он ищет адреса криптокошельков и сид-фразы из 12 или 24 слов. При обнаружении программа делает пять скриншотов в течение десяти секунд. Все собранные данные отправляются злоумышленнику через Tor. Кроме того, вирус подменяет найденные адреса на адреса кошельков, которые контролируют мошенники. В результате переводы уходят не по назначению.
В репозитории Arch User Repository обнаружены сотни заражённых пакетов с троянами
Microsoft отмечает, что вредоносная программа не использует обычный установщик или открытую инфраструктуру управления. Вместо этого она разворачивает портативный клиент Tor и превращает вора в легкий бэкдор. Defender for Endpoint определяет Crypto Clipper как троян Win32/CryptoBandits.A. Среди признаков заражения — подозрительные дочерние процессы, использование прокси на localhost:9050, команды захвата экрана и проверка буфера обмена.



