Microsoft új Crypto Clipper kártevőre figyelmeztet

A Microsoft szerint új Crypto Clipper malware terjed USB-n, amely kriptotárca-címeket cserél le és seed phrase-eket lop Windows gépeken.

Új crypto clipper malware terjed USB meghajtókról, a Microsoft riasztást adott ki

A Microsoft Threat Intelligence június 19-én figyelmeztetést adott ki egy új crypto clipper malware-ről, amely kifejezetten Windows felhasználókat céloz, és főként USB meghajtókon keresztül terjed.

A február óta aktív kártevő különösen veszélyes a kriptós közösségre, mert a gépre csatlakoztatott pendrive-okat megfertőzve továbbadja magát, miközben a háttérben a felhasználó tudta nélkül a kriptotárcákat próbálja megcsapolni.

A Microsoft szerint a támadók célja egyértelműen a kriptopénzek ellopása, de a malware nem áll meg ennyinél: tartós hozzáférést is próbál kiépíteni a fertőzött gépekhez. A vállalat ezért kifejezetten arra kéri a felhasználókat és rendszergazdákat, hogy vegyék komolyan az új fenyegetést.

Hogyan működik a Crypto Clipper Windows malware és mit lop el pontosan

A Crypto Clipper egy kifejezetten kriptósokra optimalizált Windows malware, amely folyamatosan figyeli a vágólapot, és minden „magas értékű pénzügyi adatot” megpróbál kinyerni belőle. Ilyenek például a BIP39 seed phrase-ek, a Bitcoin- és Ethereum-privát kulcsok, illetve a különböző tárcacímek.

(Crypto clipper execution flow. Forrás: Microsoft)

Amikor a felhasználó kimásol egy Bitcoin-, Tron- vagy Monero-címet – például kiutaláshoz –, a kártevő azonnal lecseréli azt a támadók saját címére, így a tranzakció a támadóhoz fut be. Emellett rendszeresen képernyőképeket készít, tíz másodpercenként, hogy még több kontextust és érzékeny információt gyűjtsön a fertőzött gépről.

Tor hálózat, rejtett backdoor és terjedés USB fertőzésen keresztül

A Microsoft elemzése szerint a Crypto Clipper nem csak adatot lop, hanem egy könnyű backdoort is telepít a rendszerre. A kártevő két obfuszkált JavaScript payloadot másol a Dokumentumok mappába, majd ütemezett feladatokat hoz létre a stealer és a worm komponens futtatására. Közben elrejti az eredeti fájlokat az USB-meghajtón, és helyettük megtévesztő, azonos nevű gyorsindító ikonokat rak ki, így a felhasználó maga indítja el a fertőzést.

A malware egy Tor klienst is telepít, „ugate.exe” néven álcázva, és ezen keresztül kommunikál a rejtett onion címeken lévő vezérlőszerverrel. Ez a Tor-alapú C2, a vágólap figyelése, a screenshot készítés és a távoli kódfuttatás együtt ad valódi, hosszan fennmaradó hozzáférést a támadóknak.

Így védd a kriptotárcáidat Windows alatt a Crypto Clipper kártevőtől

A Microsoft szerint az első lépés a Crypto Clipper ellen, hogy minimalizáld az USB fertőzés esélyét: kapcsold ki az automatikus lejátszást a hordozható meghajtóknál, és ne futtass ismeretlen pendrive-ról érkező .lnk (parancsikon) fájlokat.

Érdemes naprakészen tartani a Microsoft Defender Antivirus-t, amely már felismeri a kártevőt Trojan:Win32/CryptoBandits.A néven. Rendszergazdai oldalon hasznos lehet a .lnk fájlok blokkolása USB-meghajtókról, a gyanús scriptfuttatások és a szokatlan proxy- vagy Tor-forgalom monitorozása. 

Kriptós szempontból alap, hogy minden kiutalás előtt manuálisan ellenőrizd a beillesztett tárcacímet, ne tarts seed phrase-t és privát kulcsot digitális jegyzetben, és használj hardveres tárcát, ahol csak lehet – így egy vágólapfigyelő malware jóval kevesebb kárt tud okozni.