Microsoft объявила, что ее команда безопасности обнаружила новый штамм вредоносного ПО, который распространяется через USB-накопители и собирает учетные данные криптокошелька на компьютерах под управлением Windows. Угроза, получившая название Trojan/CryptoBandits, нацелена на закрытые ключи и начальные фразы, связанные с кошельками Bitcoin и Ethereum, потенциально подвергая риску активы, оцененные по текущим рыночным ценам. Инвесторы, полагающиеся на приложения блокчейна, должны знать, что вредоносное ПО работает бесшумно, без видимых предупреждений.
Механика вредоносного ПО
Вектор заражения основан на вредоносных файлах-ярлыках с расширением «.lnk». когда пользователь открывает замаскированный файл, скрытые сценарии запускают червя, который встраивается в операционную систему. После активации червь работает непрерывно, выполняя код кражи кошелька и одновременно готовясь скомпрометировать любые дополнительные USB-устройства, которые будут подключены позднее. Антивирус Microsoft Defender пометил эту активность как крипто-клипер, отметив, что червь распространяется автономно через съемные носители.
После установки вредоносное ПО отслеживает буфер обмена с интервалом в полсекунды, чтобы перехватить скопированные начальные фразы или закрытые ключи, а затем направляет украденные данные через сеть Tor на серверы, контролируемые злоумышленниками. Он также записывает снимки экрана каждые десять секунд, собирая визуальный контекст, который может помочь в дальнейшем извлечении учетных данных. Эти действия происходят параллельно, обеспечивая эффективность полезной нагрузки и сводя к минимуму вероятность обнаружения.
Влияние на участников криптовалюты
Для инвесторов в криптовалюту вредоносное ПО представляет прямую угрозу безопасности кошелька, потенциально допуская несанкционированные транзакции в обход согласия пользователя. Перекачивая закрытые ключи Биткойн и Эфириума, угроза может спровоцировать внезапные колебания рынка в случае незаконного перемещения больших сумм, что повлияет на стабильность цен и доверие инвесторов. Скрытый характер кражи буфера обмена означает, что даже бдительные пользователи могут непреднамеренно раскрыть свои активы при копировании адресной информации.
Microsoft советует пользователям отключать функции автозапуска на съемных дисках, проверять легитимность файлов ярлыков и регулярно обновлять сигнатуры антивируса Defender. Усиление безопасности кошелька с помощью аппаратных устройств и отказ от хранения закрытых ключей на компьютерах с Windows могут снизить риск, связанный с этим новым вредоносным ПО, ориентированным на криптографию.