كشفت Microsoft أن برنامجًا ضارًا جديدًا محمولاً عبر USB، يحمل اسم Trojan:Win32/CryptoBandits، قام بسرقة بيانات اعتماد محفظة العملة المشفرة من أجهزة الكمبيوتر التي تعمل بنظام Windows منذ فبراير.
ناقل العدوى وتنفيذها
يبدأ الهجوم عندما يحتوي محرك أقراص USB مخترق على ملف اختصار ضار بامتداد .lnk. عندما يفتح المستخدم الاختصار، تسقط الدودة على النظام وتقوم على الفور بتنشيط وظيفتين متوازيتين: وحدة سرقة المحفظة والمستمع الذي ينتظر أي جهاز USB نظيف إضافي.
جمع البيانات وترشيحها
يستقصي مكون سرقة المحفظة حافظة Windows كل 500 مللي ثانية تقريبًا، ويلتقط العبارات الأولية أو المفاتيح الخاصة لعملة Bitcoin أو Ethereum أو أصول blockchain الأخرى. يتم توجيه البيانات الملتقطة عبر شبكة Tor إلى خادم المهاجم، بينما تسجل البرامج الضارة أيضًا خمس لقطات شاشة بفواصل زمنية مدتها عشر ثوانٍ.
التلاعب في المعاملات والمخاطر
إذا قام الضحية بنسخ عنوان المستلم، فإن الدودة تقوم باستبداله بصمت بعنوان يتحكم فيه المهاجم قبل عملية اللصق، مما يؤدي إلى تحويل الأموال دون علم المستخدم. يعمل هذا السلوك على توسيع سطح التهديد لمستثمري العملات المشفرة ويؤكد الحاجة إلى زيادة نظافة USB وممارسات المحفظة غير المتصلة بالإنترنت.