Microsoftは、暗号通貨の認証情報を求めてUSBドライブを介して拡散し、攻撃者が管理するサーバーに認証情報を送信する新たなマルウェアを検出したと発表した。
同社は、デバイスのクリップボードの内容を監視してウォレット アドレスまたはシード フレーズに一致するパターンを見つけるため、このワームを Crypto Clipper と名付けました。マルウェアが見つかると、10 秒間に 5 枚のスクリーンショットも撮影されます。証明書とスクリーンショットはいずれも Tor 経由で攻撃者に送信されます。Tor は、冗長ノードを介してトラフィックを送信することで匿名ルーティングを提供するネットワーク プロトコルで、送信側と受信側の両方の IP アドレスをログに取得することができません。 Crypto Clipper は、SOCKS5 プロキシを使用して Tor 接続を確立します。SOCKS5 プロキシは、プロキシ サーバー経由でトラフィックを送信し、最終的な宛先にトラフィックを転送するネットワーク プロトコルです。
軽量テールゲート
「このチョッパーのパフォーマンスは、従来のインストーラーや公開されたIPベースのC2インフラストラクチャに依存していないため、際立っている」とMicrosoftは木曜日に述べた。 「代わりに、モバイル Tor クライアントを展開し、ローカル SOCKS5 プロキシ経由でトラフィックをルーティングし、データ盗難とリモート コード実行を組み合わせて、金銭目的の窃盗犯を軽量のバックドアに変えます。」
Microsoft は、USB ドライブ上の lnk ファイルを介して Crypto Clipper が拡散していることを確認したと発表しました。これらのファイルにはアクティベーション コードが保存されます。感染した USB ドライブがデバイスに接続されると、コードはそれがデバイスにすでにインストールされているかどうかを確認します。そうでない場合、マルウェアは Tor プロキシ経由でダウンロードします。ワームの証拠をより効果的に隠すために、マルウェアは感染した USB ドライブをスキャンし、.lnk ファイルに類似した名前を付けます。
