Microsoftは、暗号通貨の認証情報を求めてUSBドライブを介して拡散し、攻撃者が管理するサーバーに認証情報を送信する、新たな自己増殖型マルウェアを検出したと発表した。
同社は、デバイスのクリップボードの内容を監視してウォレット アドレスやシード フレーズと一致するパターンを見つけるため、このワームを Crypto Clipper と名付けました。マルウェアが見つかると、10 秒間に 5 枚のスクリーンショットも撮影されます。その後、資格情報とスクリーンショットの両方が Tor 経由で攻撃者に送信されます。Tor は、冗長ノードを介してトラフィックを送信することで匿名ルーティングを提供するネットワーク プロトコルで、送信側と受信側の両方の IP アドレスをログに取得することはできません。 Crypto Clipper は、SOCKS5 プロキシを使用して Tor 接続を確立します。SOCKS5 プロキシは、プロキシ サーバー経由でトラフィックを送信し、最終的な宛先にトラフィックを転送するネットワーク プロトコルです。
軽量のバックドア
「このクリッパーの実行は、従来のインストーラーや公開された IP ベースの C2 インフラストラクチャに依存していないため、注目に値します。」と Microsoft は述べています。 言った 木曜日。 「代わりに、ポータブル Tor クライアントを導入し、ローカル SOCKS5 プロキシ経由でトラフィックをルーティングし、データ盗難とリモート コード実行を組み合わせて、金銭目的のスティーラーを軽量のバックドアに変えます。」
Microsoftは、Crypt Clipperが次の地域に拡散しているのを観察したと発表した。 .lnk USB ドライブ上のファイル。これらのファイルには実行可能コードが保存されます。感染した USB ドライブがデバイスに接続されると、コードはその USB ドライブがすでにマシンにインストールされているかどうかを確認します。そうでない場合、マルウェアは Tor プロキシ経由でダウンロードします。ワームの証拠をより隠蔽するために、マルウェアは感染した USB ドライブをスキャンし、.lnk ファイルに類似した名前を付けます。
