CryptoBandits USB- meghajtón
A Microsoft Threat Intelligence egy új, Crypto Clipper néven követett Windows malware-családot mutat be, amely a hagyományos clipboard-hijackerek képességeit USB-alapú önterjedéssel, Tor-alapú C2 kommunikációval és távoli vezérlési funkciókkal egészíti ki. A fertőzés egy USB-meghajtóra másolt LNK (Windows Shortcut) fájlal indul, amely legitim dokumentumnak álcázza magát. A malware elrejti az eredeti fájlokat, majd azonos nevű parancsikonokat hoz létre, amelyek megnyitásakor PowerShell-en keresztül több komponensből álló fertőzési láncot indít el. A rendszerben perzisztenciát ütemezett feladatokkal és automatikus USB-fertőzéssel biztosítja, így minden újonnan csatlakoztatott meghajtóra átmásolja magát.
A malware legfontosabb funkciója egy clipboard hijacker, amely 500 ms-onként figyeli a Windows vágólapját. Előre definiált reguláris kifejezésekkel felismeri a Bitcoin, Ethereum, Litecoin, TRON, Solana, Monero és más kriptovaluták tárcacímeit, valamint BIP-39 seed phrase-eket, WIF-formátumú privát kulcsokat és egyéb wallet-azonosítókat. Ha ilyen adatot talál, a tárcacímet automatikusan a támadó saját címére cseréli, így az áldozat a tranzakció során észrevétlenül rossz címre utalja az összeget.
A kampány másik lényeges eleme a Tor-alapú parancs- és vezérlési infrastruktúra. A malware egy hordozható Tor klienst telepít, amely helyi SOCKS5 proxyként működik, majd ezen keresztül kommunikál .onion C2 szerverekkel. Ez jelentősen megnehezíti a hálózati forgalom monitorozását és az infrastruktúra blokkolását. A C2-n keresztül a támadók konfigurációkat frissíthetnek, új kriptotárcacímeket tölthetnek le, képernyőképeket kérhetnek, valamint további parancsokat hajthatnak végre a fertőzött rendszeren.
A Microsoft a fenyegetést Trojan:Win32/CryptoBandits néven követi. A támadók már nem kizárólag kriptotárcacímeket cserélnek ki, hanem USB-worm, clipper, stealer és könnyű backdoor funkciókat egyesítenek egyetlen eszközben, miközben a Tor használatával jelentősen növelik a művelet rejtettségét és ellenálló képességét.
