Nội dung bài viết
Crypto Clipper lây lan qua USB và giao tiếp qua Tor. Microsoft cho biết họ đã phát hiện phần mềm độc hại tự lan truyền mới lây lan qua ổ USB để tìm kiếm thông tin xác thực về tiền điện tử, sau đó gửi đến các máy chủ do kẻ tấn công kiểm soát.
Công ty đặt tên cho sâu này là Crypto Clipper vì nó giám sát nội dung của bảng ghi tạm trên thiết bị để tìm các mẫu phù hợp với địa chỉ ví hoặc cụm từ hạt giống. Khi được tìm thấy, phần mềm độc hại cũng chụp 5 ảnh chụp màn hình trong khoảng thời gian 10 giây.
Sau đó, cả thông tin đăng nhập và ảnh chụp màn hình đều được gửi cho kẻ tấn công thông qua Tor, một giao thức mạng cung cấp định tuyến ẩn danh bằng cách gửi lưu lượng truy cập qua các nút dự phòng để nhật ký không thể ghi lại cả địa chỉ IP gửi và nhận.
Crypto Clipper thiết lập kết nối Tor bằng cách sử dụng proxy SOCKS5, một giao thức mạng gửi lưu lượng truy cập qua máy chủ proxy, sau đó chuyển tiếp lưu lượng truy cập đó đến đích cuối cùng.
Microsoft cho biết hôm thứ Năm: “Việc thực thi clipper này rất đáng chú ý vì nó không phụ thuộc vào trình cài đặt truyền thống hoặc cơ sở hạ tầng C2 dựa trên IP”.
“Thay vào đó, nó triển khai một máy khách Tor di động, định tuyến lưu lượng truy cập thông qua proxy SOCKS5 cục bộ và kết hợp việc đánh cắp dữ liệu với việc thực thi mã từ xa.
sử dụng, biến một kẻ ăn cắp có động cơ tài chính thành một cửa hậu nhẹ.” Microsoft cho biết họ đã quan sát thấy Crypto Clipper lây lan qua tệp .lnk trên ổ USB. Những tập tin này lưu trữ mã thực thi.
Khi ổ USB bị nhiễm virus được cắm vào thiết bị, mã sẽ kiểm tra xem nó đã được cài đặt trên máy hay chưa. Nếu không, phần mềm độc hại sẽ tải xuống thông qua proxy Tor.
Để che giấu tốt hơn bằng chứng về sâu, phần mềm độc hại sẽ quét ổ USB bị nhiễm và đặt tên cho các tệp .lnk có tên tương tự. Crypto Clipper giám sát nội dung clipboard để tìm các mẫu phù hợp với cụm từ hạt giống 12 hoặc 24 từ được tiêu chuẩn hóa.
Khi được tìm thấy, nó sẽ tải chúng lên cùng với ảnh chụp màn hình lên máy chủ của kẻ tấn công. Kẻ đánh cắp cũng thay thế các địa chỉ mà nó tìm thấy bằng địa chỉ thuộc về ví do kẻ tấn công kiểm soát.
Điều này cho phép phần mềm độc hại chuyển hướng thanh toán vào túi của kẻ tấn công. Microsoft tin rằng mục đích của ảnh chụp màn hình là cung cấp ngữ cảnh có thể hữu ích.
Microsoft cho biết: “Dòng phần mềm độc hại này cho thấy những kẻ đánh cắp dựa trên tập lệnh nhẹ nhàng như thế nào có thể mang lại tác động lớn như thế nào khi kết hợp với hoạt động liên lạc ẩn danh và tác vụ thời gian chạy”.
“Sự kết hợp của Tor-routed C2, nhắm mục tiêu vào clipboard, sc chụp lại và thực thi mã từ xa mang lại cho kẻ tấn công cả đường kiếm tiền ngay lập tức và quyền kiểm soát liên tục đối với các thiết bị bị xâm nhập.” Bộ bảo vệ Microsoft dành cho Điểm cuối phát hiện các thành phần Crypto Clipper dưới dạng các quy trình JavaScript đáng ngờ và các hoạt động lọc dữ liệu có thể xảy ra bằng cách sử dụng Curl.
Microsoft Defender Antivirus phát hiện nó dưới dạng Trojan: Win32/CryptoBandits.A.
Nói chung hơn, các dấu hiệu lây nhiễm mạnh nhất là trình thông dịch tập lệnh sinh ra các tiến trình con đáng ngờ, việc sử dụng proxy trên localhost:9050, các lệnh chụp ảnh màn hình trong PowerShell và các dấu hiệu kiểm tra clipboard hoặc thay thế địa chỉ mật mã.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.