Microsoft снова радует хоррор-историями из мира кибербезопасности. На этот раз в их поле зрения попал очень неприятный экземпляр — USB-червь Crypto Clipper. В интернетах его уже окрестили Apex Crypto Clipper 1.0 (или просто ClipperApex), и, судя по описанию, прозвище это он заслужил. Суть — кража криптокошельков через самый безобидный на вид носитель.
Механизм заражения выглядит так. Вы подключаете к кому-то чужую флешку — на ней лежат файлы-ярлыки с расширением .lnk. Как только система их считывает, активируется скрипт. Дальше начинается магия: червь проверяет, есть ли на диске его собственные компоненты. Если нет — он скачивает их через скрытый канал связи, используя встроенный в систему клиент сети Tor. Да, тот самый The Onion Router. Плюс SOCKS5-прокси. Никаких классических C2-серверов — команды идут полностью анонимно. Отследить, кто дёргает за ниточки, практически нереально.
После того как Crypto Clipper закрепился в системе, начинается самое интересное. Вредонос запускает мониторинг буфера обмена. Если вы скопировали строку, похожую на криптовалютный адрес (начинается с 1, 3, bc1 и т.д.) или seed-фразу из 12–24 слов — они мгновенно улетают злоумышленникам. Но это ещё не всё: параллельно программа делает серию скриншотов (пять кадров за 10 секунд), чтобы зафиксировать, что именно вы делали в тот момент. Контекст — наше всё.
Коронный трюк: подмена адреса. Если вы скопировали адрес кошелька для перевода, Crypto Clipper тихо заменяет его в буфере на адрес хакера. Вы вставляете, проверяете — вроде всё то же самое? — и отправляете деньги. А они уходят совсем не туда. Умно, цинично и очень эффективно.
Чтобы не светиться, червь маскирует свои файлы на USB-накопителях, подсовывая им имена, похожие на легитимные. Пользователь видит «важный_документ.lnk» и думает, что это просто ярлык.
Microsoft, конечно, уже добавила сигнатуру. Defender детектит эту напасть как Trojan:Win32/CryptoBandits.A. Косвенные признаки заражения: подозрительные дочерние процессы, запущенные скриптовыми интерпретаторами (JScript, PowerShell), активность на локальном порту 9050 (стандартный порт Tor SOCKS proxy), внезапные попытки сделать скриншот через PowerShell, а также нетипичная активность при анализе буфера обмена.