Η Microsoft λέει ότι εντόπισε νέο αυτοδιαδιδόμενο κακόβουλο λογισμικό που εξαπλώνεται μέσω μονάδων USB αναζητώντας διαπιστευτήρια κρυπτονομισμάτων, τα οποία στέλνει σε διακομιστές που ελέγχονται από τους εισβολείς.
Η εταιρεία το ονόμασε Crypto Clipper επειδή παρακολουθεί τα περιεχόμενα του προχείρου της συσκευής για μοτίβα που ταιριάζουν με τις διευθύνσεις πορτοφολιού ή τις βασικές φράσεις. Όταν εντοπιστεί, το κακόβουλο λογισμικό λαμβάνει επίσης πέντε στιγμιότυπα οθόνης σε μια περίοδο 10 δευτερολέπτων. Τόσο το πιστοποιητικό όσο και το στιγμιότυπο οθόνης αποστέλλονται στη συνέχεια στον εισβολέα μέσω Tor, ενός πρωτοκόλλου δικτύου που παρέχει ανώνυμη δρομολόγηση στέλνοντας κίνηση μέσω περιττών κόμβων, έτσι ώστε τα αρχεία καταγραφής να μην μπορούν να καταγράψουν και τις διευθύνσεις IP αποστολής και λήψης. Το Crypto Clipper δημιουργεί μια σύνδεση Tor χρησιμοποιώντας έναν διακομιστή μεσολάβησης SOCKS5, ένα πρωτόκολλο δικτύου που στέλνει την κίνηση μέσω ενός διακομιστή μεσολάβησης, ο οποίος στη συνέχεια τη δρομολογεί στον τελικό προορισμό του.
Μια ελαφριά πίσω πόρτα
“Η εφαρμογή αυτού του Clipper είναι σημαντική επειδή δεν βασίζεται σε ένα παραδοσιακό πρόγραμμα εγκατάστασης ή σε ανοιχτή υποδομή C2 που βασίζεται σε IP”, δήλωσε η Microsoft. είπε Πέμπτη “Αντίθετα, αναπτύσσει έναν φορητό πελάτη Tor, δρομολογεί την κυκλοφορία μέσω ενός τοπικού διακομιστή μεσολάβησης SOCKS5 και συνδυάζει την κλοπή δεδομένων με την απομακρυσμένη εκτέλεση κώδικα, μετατρέποντας έναν κλέφτη με οικονομικά κίνητρα σε μια ελαφριά κερκόπορτα.”
Η Microsoft είπε ότι παρατήρησε την εξάπλωση μέσω του Crypto Clipper σύνδεσμος αρχείο σε μονάδα USB. Αυτά τα αρχεία αποθηκεύουν εκτελέσιμο κώδικα. Όταν μια μολυσμένη μονάδα USB συνδέεται σε μια συσκευή, ο κωδικός ελέγχει αν είναι ήδη εγκατεστημένος στο μηχάνημα Εάν δεν το κάνει, το κακόβουλο λογισμικό το κατεβάζει μέσω του διακομιστή μεσολάβησης Tor. Για να κρύψει καλύτερα τα στοιχεία του ιού τύπου worm, το κακόβουλο λογισμικό σαρώνει τη μολυσμένη μονάδα USB και μετονομάζει τα αρχεία .lnk στο ίδιο όνομα.