USB-червь распространяет вредоносное ПО для кражи криптовалюты через файлы ярлыков Windows
Злоумышленники, нацеленные на криптовалютные кошельки, распространяют вредоносное ПО для кражи данных из буфера обмена с возможностью самораспространения и используют сеть Tor для сокрытия коммуникаций.
Эта кампания ведется как минимум с февраля. Злоумышленники используют файлы LNK (ярлыки) на USB-накопителях для распространения вредоносного ПО, которое отслеживает содержимое буфера обмена и заменяет адреса криптовалютных кошельков на адреса, контролируемые злоумышленником.
Кроме того, он отслеживает начальные фразы и приватные ключи, а также может делать снимки экрана, которые передаются через Tor.
Заражение и распространение червей
По данным Microsoft, процесс заражения начинается с того, что жертва открывает файл LNK, запускающий вредоносное ПО на USB-накопителе. Дополнительные вредоносные программы загружаются с адреса .ONION.
При локальном сканировании выполняется поиск файлов документов в системе. При обнаружении таких файлов вредоносное ПО скрывает оригиналы и заменяет их вредоносными ярлыками с теми же названиями. Это приводит к запуску вредоносного ПО, когда пользователи пытаются открыть документы.
Червь создает запланированное задание, которое отслеживает подключение новых USB-накопителей. При подключении съемного диска вредоносное ПО копирует себя на устройство и создает дополнительные вредоносные файлы-ярлыки.
Обзор процесса выполнения
Источник: Microsoft
Программа для кражи данных
Компонент программы для кражи данных запускается после проверки того, что диспетчер задач неактивен, и устанавливает связь с командным сервером (C2) с помощью исполняемого файла Tor (ugate.exe).
Каждые полсекунды программа проверяет буфер обмена на наличие следующих данных:
- Начальные фразы BIP39 из 12 слов
- Начальные фразы BIP39 из 24 слов
- Закрытые ключи Ethereum
- Ключи WIF для биткоина
- Адреса кошельков Bitcoin Legacy, P2SH, Bech32 и Taproot
- Адреса кошельков Tron
- Адреса кошельков Monero
Целевые адреса выбираются таким образом, чтобы их начальные цифры или символы частично совпадали с адресами кошельков злоумышленников. Это снижает вероятность того, что пользователь сразу заметит мошенничество.
Функция для замены адреса кошелька
Источник: Microsoft
Помимо отслеживания буфера обмена, вредоносное ПО каждые десять секунд делает пять снимков экрана жертвы и отправляет их на командный сервер с помощью инструмента curl.
По данным Microsoft, также поддерживается удаленное выполнение кода, которое может быть инициировано инструкцией C2 EVAL. В частности, вредоносное ПО загружает содержимое JavaScript в файл с именем cfile и запускает его на зараженном компьютере.
Исследователи утверждают, что наиболее явными признаками заражения являются поведенческие, а не сигнатурные, и рекомендуют отслеживать активность процессов wscript.exe и cscript.exe, неожиданные запуски curl, PowerShell и cmd.exe, а также необычные дочерние процессы.
Кроме того, подозрительными сигналами, связанными с этой кампанией, являются подключения к «localhost:9050» и активность через прокси-сервер Tor.
Редактор: AndreyEx
