Microsoft сообщила, что новое вредоносное ПО, переносимое через USB, под названием Trojan:Win32/CryptoBandits, с февраля крадет учетные данные криптовалютного кошелька с компьютеров под управлением Windows.
Вектор заражения и исполнение
Атака начинается, когда скомпрометированный USB-накопитель содержит вредоносный ярлык с расширением .lnk. Когда пользователь открывает ярлык, червь загружается в систему и немедленно активирует две параллельные функции: модуль кражи кошелька и прослушиватель, ожидающий любого дополнительного чистого USB-устройства.
Сбор и эксфильтрация данных
Компонент, осуществляющий кражу кошелька, опрашивает буфер обмена Windows примерно каждые 500 миллисекунд, собирая начальные фразы или закрытые ключи для биткойнов, Ethereum или других активов блокчейна. Захваченные данные передаются через сеть Tor на сервер злоумышленника, а вредоносная программа также записывает пять снимков экрана с интервалом в десять секунд.
Манипулирование транзакциями и риски
Если жертва копирует адрес получателя, червь перед операцией вставки незаметно перезаписывает его адресом, контролируемым злоумышленником, перенаправляя средства без ведома пользователя. Такое поведение расширяет сферу угроз для криптоинвесторов и подчеркивает необходимость более строгой гигиены USB и практики автономного кошелька.