Microsoft попереджає користувачів Windows про зловмисне програмне забезпечення CryptoBandits Clipper

Міжнародна служба Threat Intelligence компанії Microsoft детально описала кампанію шкідливого ПЗ для Windows, яку відстежують як Trojan:Win32/CryptoBandits.A. Йдеться про кліппер, який поширюється через знімні носії, стежить за активністю буфера обміну та підміняє криптовалютні адреси до того, як жертви відправлять кошти. Зловмисне ПЗ націлене на одну з найпоширеніших звичок у крипто: копіювання та вставлення адрес гаманців, замінюючи законні адреси одержувачів адресами, контрольованими атакувальником. Ця кампанія є специфічним для крипто методом викрадення, який використовує довіру до USB-накопичувачів і рутинні робочі процеси під час транзакцій.

Шкідливе ПЗ CryptoBandits стежить за буфером обміну й підміняє криптовалютні адреси

Шкідливе ПЗ відстежує буфер обміну й замінює скопійовані адреси гаманців на адреси, контрольовані атакувальником. У звіті Microsoft зазначено, що кампанія CryptoBandits використовує моніторинг буфера обміну на високій частоті та також може шукати чутливі криптовалютні матеріали, зокрема приватні ключі або seed-фрази. Користувач копіює законну адресу одержувача, але шкідливе ПЗ перехоплює й підміняє її до того, як жертва вставить адресу в транзакцію. Блокчейн-перекази важко або неможливо скасувати, і жертви можуть зрозуміти, що сталося, лише після перевірки запису транзакції.

Шкідливе ПЗ поширюється через USB-накопичувачі за допомогою зловмисних ярликів

Microsoft повідомляє, що шкідливе ПЗ може поширюватися через знімні диски, ховаючи реальні документи й замінюючи їх на файли-зловмисні ярлики, які використовують знайомі назви документів. Користувач відкриває те, що виглядає як звичайний PDF, електронну таблицю чи документ із USB-накопичувача, але ярлик натомість запускає зловмисний код. Кампанія також використовує інфраструктуру Tor для командування й керування трафіком, як зазначає Microsoft. Маршрутизуючи зв’язок через приховані сервіси, атакувальники можуть ускладнити нейтралізацію шкідливого ПЗ та зробити його важчим для перевірки традиційними мережевими засобами захисту.

Microsoft рекомендує перевіряти адресу перед відправкою коштів

Наскідка Microsoft передбачає перевірку першого та останнього символів адреси одержувача до відправлення коштів. Для більших переказів користувачам слід використовувати апаратний гаманець або екран гаманця, який показує адресу незалежно від зараженого комп’ютера. Також рекомендується уникати відкриття файлів із невідомих USB-накопичувачів, тримати оновленими інструменти безпеки Windows і з підозрою ставитися до ярликів на знімних носіях. Якщо накопичувач раптом показує знайомі файли як посилання-ярлики, це є ознакою небезпеки. Ця кампанія орієнтована на Windows і націлена на користувачів крипто, які покладаються на сценарії копіювання-вставлення для адрес транзакцій.

FAQ

Що робить шкідливе ПЗ CryptoBandits із адресами гаманців?

Шкідливе ПЗ стежить за активністю буфера обміну та замінює скопійовані адреси криптовалютних гаманців на адреси, контрольовані атакувальником, до того, як жертви вставлять їх у транзакції. Microsoft зазначає, що воно використовує моніторинг буфера обміну на високій частоті та також може шукати приватні ключі або seed-фрази.

Як CryptoBandits поширюється на інші комп’ютери?

Microsoft повідомляє, що шкідливе ПЗ поширюється через знімні USB-накопичувачі, ховаючи реальні документи й замінюючи їх на файли-зловмисні ярлики, які використовують знайомі назви документів. Коли користувач відкриває файл, який виглядає як звичайний, із USB-накопичувача, ярлик натомість запускає зловмисний код.