Bezpečnostní experti Microsoftu upozornili na malware, který se od února šíří prostřednictvím USB flash disků. Útočí na uživatele kryptoměn, krade přístupové údaje k peněženkám a dokáže nenápadně měnit adresy příjemců při odesílání transakcí.
Microsoft zveřejnil informace o novém škodlivém softwaru označovaném jako „crypto clipper“, který cílí na uživatele systému Windows a jejich kryptoměnové peněženky. Antivirus Microsoft Defender jej detekuje pod názvem Trojan:Win32/CryptoBandits.
Útok začíná zdánlivě nevinným USB diskem. Na něm se nachází škodlivý soubor typu zástupce s příponou .lnk. Pokud uživatel po připojení disku na tento soubor klikne, do počítače se nainstaluje takzvaný červ (worm), který se následně začne šířit dál.
Po instalaci malware plní dvě hlavní úlohy. První spočívá ve sledování systému a krádeži citlivých údajů souvisejících s kryptoměnovými peněženkami. Druhá zajišťuje další šíření infekce prostřednictvím nově připojených USB zařízení.
Škodlivý software pravidelně kontroluje schránku systému Windows, tedy místo, kam se ukládají data při kopírování a vkládání. Pokud uživatel zkopíruje seed frázi nebo soukromý klíč ke kryptoměnové peněžence, malware tyto informace zachytí a odešle útočníkům přes anonymizační síť Tor. Současně pořizuje snímky obrazovky, které také odesílá na vzdálené servery.
Nebezpečný je i další mechanismus. Když uživatel zkopíruje adresu kryptoměnové peněženky, na kterou chce poslat prostředky, malware ji může nepozorovaně nahradit adresou kontrolovanou útočníkem. Uživatel následně odešle kryptoměny na nesprávný účet, aniž by si změny všiml.
Malware se navíc automaticky šíří na další USB zařízení. Jakmile je k infikovanému počítači připojen čistý flash disk, škodlivý software na něm vyhledá běžné soubory, například dokumenty Wordu, Excelu nebo PDF. Ty následně nahradí zástupci se stejnými názvy, které při otevření spustí další infekci.
Microsoft doporučuje uživatelům i správcům systémů vypnout funkci AutoRun pro vyměnitelná média, blokovat spouštění souborů .lnk z USB disků a omezit používání skriptovacích nástrojů, jako jsou wscript.exe a cscript.exe.
Společnost zároveň zveřejnila seznam takzvaných indikátorů kompromitace, včetně hashů souborů a adres serverů používaných útočníky. Bezpečnostní týmy tak mohou zkontrolovat, zda se malware nevyskytuje i v jejich sítích.
