Powrót do przeszłości w cyberbezpieczeństwie. Nowy robak kradnie kryptowaluty przez port USB
W erze wyrafinowanych ataków chmurowych i wszechobecnego phishingu cyberprzestępcy przypomnieli sobie o starym, sprawdzonym wektorze ataku.
Microsoft wykrył nowego, samorozprzestrzeniającego się robaka, który infekuje komputery przez zwykłe pendrive’y. Jego jedynym celem jest bezszelestne wyczyszczenie twojego portfela kryptowalut.
Odkryte przez Microsoft zagrożenie otrzymało nazwę Crypto Clipper. To wyjątkowo sprytny kawałek kodu, który łączy archaiczne metody infekcji z najnowocześniejszymi technikami zacierania śladów. Jak ostrzegają badacze, mamy tu do czynienia z „lekkim backdoorem”, który potrafi wyrządzić gigantyczne szkody.
Cichy pasożyt na dysku
Złośliwe oprogramowanie ukrywa się na dyskach USB pod postacią złośliwych skrótów systemu Windows (.lnk), które uruchamiają szkodliwy kod. Co ciekawe, aby uśpić czujność ofiary, robak skanuje zawartość pendrive’a i nadaje swoim skrótom nazwy łudząco podobne do plików, które już się na nim znajdują. Gdy nieświadomy użytkownik uruchomi taki spreparowany skrót, Crypto Clipper instaluje się w systemie i natychmiast przechodzi w tryb nasłuchu.
W przeciwieństwie do głośnego ransomware, ten robak działa bezszelestnie. Jego głównym zadaniem jest monitorowanie systemowego schowka w poszukiwaniu ciągów znaków przypominających adresy portfeli kryptowalutowych oraz tzw. seed phrases (ciągów 12 lub 24 słów odzyskujących dostęp do zgromadzonych środków). Gdy skopiujesz adres, by wykonać przelew, złośliwy kod w ułamku sekundy podmienia go na adres kontrolowany przez hakera. Jeśli nie zweryfikujesz go przed zatwierdzeniem transakcji, twoje środki bezpowrotnie znikną.
Microsoft nie ujawnił pełnej skali tej kampanii, ale użytkownicy systemu Windows powinni zachować szczególną ostrożność przy podłączaniu nieznanych nośników USB.
Na podmianie adresów inwigilacja się jednak nie kończy. Po wykryciu interesujących danych robak wykonuje pięć zrzutów ekranu w odstępie 10 sekund. To pozwala przestępcom zdobyć cenny kontekst operacyjny: widzą, z jakich aplikacji korzystasz, ile masz środków i jak wygląda twoje prywatne środowisko pracy.
Zakamuflowany dzięki sieci Tor
To, co czyni Crypto Clippera tak niebezpiecznym, to sposób, w jaki komunikuje się ze swoimi twórcami. Tradycyjne złośliwe oprogramowanie zazwyczaj łączy się z serwerami dowodzenia (C2) za pomocą otwartych protokołów, co ułatwia jego wykrycie i zablokowanie przez programy antywirusowe.
Tutaj hakerzy zastosowali zupełnie inną taktykę. Robak pobiera przenośnego klienta sieci Tor i kieruje cały skradziony ruch przez lokalne proxy SOCKS5. Dzięki temu przesyłane dane są w pełni zanonimizowane, a wykrycie, dokąd trafiają kradzione kryptowaluty i zrzuty ekranu, staje się dla zapór sieciowych znacznie utrudnione.
Historia zatacza koło
Ten przypadek doskonale udowadnia, że w świecie cyberbezpieczeństwa najsłabszym ogniwem zawsze pozostaje człowiek, a zapomniane metody wciąż są zabójczo skuteczne. Warto przypomnieć, że to właśnie między innymi za pomocą zainfekowanych pamięci USB słynny robak Stuxnet zdołał przeniknąć do fizycznie odciętych od internetu irańskich zakładów i zniszczyć wirówki do wzbogacania uranu.
Skala obu tych zjawisk jest oczywiście inna, ale mechanizm błędu pozostaje identyczny. Kiedyś przez USB niszczono tajne programy nuklearne, dziś czyści się portfele z Bitcoinów i innych kryptowalut. Warto o tym pamiętać, zanim następnym razem w ułamku sekundy zdecydujemy się podłączyć do komputera znaleziony w biurze nośnik danych.
