سرقت بیتکوین به روشی هوشمندانه؛ یک «بدافزار خودتکثیرشونده» و بسیار خطرناک کشف شد
مایکروسافت یک بدافزار جدید و خودتکثیرشونده را شناسایی کرده که با هدف سرقت اطلاعات حساس رمزارز طراحی شده است. این کرم رایانهای که با نام Crypto Clipper شناخته میشود، محتوای حافظهی موقت یا همان کلیپبورد را بهطور مداوم زیر نظر میگیرد و ممکن است به سرقت بیتکوین و سایر رمزارزهای کاربر کمک کند.
هنگامی که Crypto Clipper الگوهای مربوط به آدرس کیف پول یا عبارات بازیابی را شناسایی کند، وارد عمل میشود. این بدافزار در یک بازهی زمانی ۱۰ ثانیهای، پنج اسکرینشات از صفحهنمایش کاربر تهیه میکند.
اطلاعات سرقتشده و تصاویر ثبتشده، از طریق شبکهی Tor برای مهاجمان ارسال میشوند. استفاده از پروتکل Tor باعث میشود تا ردپای مهاجمان در شبکه پنهان بماند و آدرسهای IP مبدأ و مقصد قابل ردیابی نباشند.
این بدافزار برای برقراری ارتباط با سرورهای کنترلکننده، از یک پروکسی SOCKS5 استفاده میکند. این روش به Crypto Clipper اجازه میدهد تا ترافیک دادهها را از طریق سرورهای واسطه به مقصد نهایی هدایت کند.
مایکروسافت میگوید عملکرد این ابزار سرقت بسیار متفاوت از نمونههای مشابه است. این بدافزار برای اجرا به نصبکنندههای سنتی یا زیرساختهای متمرکز متکی نیست: «بدافزار جدید به این دلیل قابل توجه است که به یک نصبکنندهی سنتی یا زیرساخت C2 مبتنی بر IP اتکا نمیکند. در عوض، یک کلاینت قابل حمل Tor را مستقر میکند، ترافیک را از طریق یک پروکسی محلی SOCKS5 هدایت میکند و سرقت دادهها را با اجرای کد از راه دور ترکیب میکند تا یک ابزار سرقت را به یک بکدور تبدیل کند.»
Crypto Clipper از طریق فایلهای میانبر با پسوند .lnk در درایوهای USB منتشر میشود. این فایلها حاوی کدهای اجرایی هستند که به محض اتصال حافظه به کامپیوتر، وضعیت آلودگی سیستم را بررسی میکنند.
اگر بدافزار روی سیستم نصب نشده باشد، کدهای مخرب از طریق پروکسی Tor دانلود میشوند. برای پنهانسازی فعالیتها، Crypto Clipper نام فایلهای .lnk موجود در درایو USB را تغییر میدهد تا به سایر فایلهای موجود در حافظه شبیه باشند.