Microsoft предупреждает пользователей Windows о вредоносном ПО CryptoBandits Clipper

Интеллектуальная служба Microsoft по киберугрозам подробно описала кампанию вредоносного ПО для Windows, отслеживаемую как Trojan:Win32/CryptoBandits.A. В ней говорится о клиппере, который распространяется через съёмные носители, отслеживает действия с буфером обмена и подменяет адреса криптовалюты до того, как жертвы отправят средства. Вредоносное ПО нацелено на одну из самых распространённых привычек в криптовалюте: копирование и вставку адресов кошельков, подменяя корректные адреса назначения адресами, контролируемыми злоумышленниками. Эта кампания представляет собой криптоспецифичный метод кражи, использующий доверие к USB-накопителям и рутинным сценариям транзакций.

Вредоносное ПО CryptoBandits отслеживает буфер обмена и подменяет адреса криптовалют

Вредоносное ПО следит за буфером обмена и заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками. В отчёте Microsoft говорится, что кампания CryptoBandits использует высокочастотный мониторинг буфера обмена и также может искать чувствительные криптоданные, например приватные ключи или seed-фразы. Пользователь копирует легитимный адрес назначения, но вредоносное ПО перехватывает и подменяет этот адрес до того, как жертва вставит его в транзакцию. Блокчейн-переводы сложно или невозможно отменить, и пострадавшие могут понять, что произошло, только после проверки записи о транзакции.

Вредоносное ПО распространяется через USB-накопители с помощью вредоносных ярлыков

Microsoft сообщает, что вредоносное ПО может распространяться через съёмные диски, скрывая реальные документы и заменяя их вредоносными файлами-ярлыками, которые используют знакомые названия документов. Пользователь открывает то, что выглядит как обычный PDF, таблица или документ с USB-накопителя, но ярлык вместо этого выполняет вредоносный код. Кампания также задействует инфраструктуру Tor для командно-контрольного трафика, согласно Microsoft. Прокладывая связь через скрытые сервисы, злоумышленники могут сделать вредоносное ПО сложнее для сдерживания и труднее для инспекции со стороны традиционных сетевых защит.

Microsoft рекомендует проверять адрес перед отправкой средств

Рекомендации Microsoft включают проверку первых и последних символов адреса назначения перед отправкой средств. Для более крупных переводов пользователям следует использовать аппаратный кошелёк или экран кошелька, который показывает адрес независимо от заражённого компьютера. Также пользователям следует избегать открытия файлов с неизвестных USB-накопителей, держать инструменты безопасности Windows в актуальном состоянии и относиться к ярлыкам на съёмных носителях с подозрением. Если диск внезапно показывает знакомые файлы в виде ссылок-ярлыков, это тревожный признак. Эта кампания ориентирована на Windows и нацелена на пользователей криптовалют, которые полагаются на сценарии копирования-вставки для адресов транзакций.

FAQ

Что делает вредоносное ПО CryptoBandits с адресами кошельков криптовалют?

Вредоносное ПО отслеживает активность буфера обмена и заменяет скопированные адреса кошельков криптовалют на адреса, контролируемые злоумышленниками, до того, как жертвы вставят их в транзакции. Microsoft утверждает, что оно использует высокочастотный мониторинг буфера обмена и также может искать приватные ключи или seed-фразы.

Как CryptoBandits распространяется на другие компьютеры?

Microsoft сообщает, что вредоносное ПО распространяется через съёмные USB-накопители, скрывая реальные документы и заменяя их вредоносными файлами-ярлыками, которые используют знакомые названия документов. Когда пользователь открывает файл, который выглядит обычным, с USB-накопителя, ярлык вместо этого выполняет вредоносный код.