- Microsoft、USB ドライブ上の悪意のある .LNK ファイルを介して拡散するワーム「Crypto Clipper」について警告
- マルウェアは永続性を維持し、Tor C2 に接続し、リモート コード実行を可能にして、ボードから暗号データを盗みます。
- ウォレットアドレスを交換し、シードフレーズ/秘密鍵を抽出し、スクリーンショットをアップロードして目標値を推定します
Microsoftは、ボードハイジャックワームを介して仮想通貨保有者をターゲットにした進行中のキャンペーンについて警告している。
先週末に発表された新しい詳細なレポートの中で、Microsoft のセキュリティ研究者は、一見普通の文書 (Word ファイル、Excel スプレッドシート) が含まれているサムドライブを最近分析したと説明しました。ただし、このドキュメントは、実際には Crypto Clipper と呼ばれるマルウェアを起動する Windows ショートカット (.LNK) ファイルに置き換えられました。
このマルウェアはいくつかのことを行います。まず、USB ドライブやその他のリムーバブル メディア上に悪意のある .LNK ファイルを作成することによって拡散します。また、スケジュールされたタスクを設定して永続性を維持し、新しく接続された USB デバイスに自動的にパッチを適用します。 2 つ目は、Tor ネットワークを介して C2 サーバーとの常時接続を確立し、攻撃者からのコマンドを受信することにより、バックドアのように機能します。サーバーは、マルウェアにコマンドを送信して、感染したシステム上で攻撃者が提供したコードをダウンロードして実行することもできます。
ウォレットデータの盗難
最後に、Crypto Clipper は、Windows クリップボードの暗号ウォレット アドレス、最初のフレーズ、秘密キーを監視することにより、クリップボードとして機能します。ウォレットのアドレスを検出すると、そのアドレスを攻撃者が所有する別のアドレスに置き換えることができるため、被害者が送信したすべてのトークンは代わりに攻撃者に送られます。また、コピーされたシード フレーズと秘密キーを盗んで抽出することもでき、これらを使用して、被害者の暗号ウォレットを別のデバイスにロードできます。
攻撃者がターゲットの価値を評価できるようにするために、マルウェアは定期的に被害者の画面のスクリーンショットを取得し、Tor ネットワーク経由でアップロードします。
「このマルウェア ファミリは、軽量のスクリプトベースの窃盗犯が、匿名通信やランタイム タスクと組み合わせることで、いかに大きな影響を与えることができるかを示しています」と Microsoft は述べています。 「C2 の Tor ルーティング、ボード ターゲティング、スクリーンショット キャプチャ、およびリモート コード実行の組み合わせにより、攻撃者は即時の収益化パスと、侵害されたデバイスに対する永続的な制御の両方を得ることができます。」
マイクロソフトは、マルウェアが特定の国や地域を標的にしたかどうかには言及せず、被害者の数についても言及しなかった。
を通して アルス テクニカ
あらゆる予算に最適なウイルス対策ツール
Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。
