مایکروسافت از بدافزار CryptoBandits با قابلیت تغییر آدرس…
این کرم ویندوز از میانبرهای مخرب .lnk استفاده میکند، هر ~500 میلیثانیه کلیپبورد را بررسی میکند و دادهها را از طریق Tor خارج میکند.
مایکروسافت یک کرم ویندوزی که از طریق USB منتشر میشود و به عنوان Trojan:Win32/CryptoBandits شناسایی شده است را فاش کرد که از فوریه ۲۰۲۶ به فعالیتهای کیف پولهای رمزارزی حمله کرده است. این بدافزار کلیپ بورد را برای عبارات seed، کلیدهای خصوصی و آدرسهای گیرنده زیر نظر دارد و میتواند بهطور خاموش آدرسهای مقصد کپی شده را برای هدایت انتقالات جایگزین کند.
نکات کلیدی
- یک کرم ویندوزی که از طریق USB منتقل میشود و به عنوان Trojan:Win32/CryptoBandits ردیابی شده است، از فوریه ۲۰۲۶ به فعالیتهای کیف پولهای رمزارزی حمله کرده است.
- عفونت اولیه میتواند با یک کلیک ساده بر روی یک میانبر مخرب ویندوز (.lnk) که بر روی یک درایو USB آلوده قرار دارد، آغاز شود.
- این بدافزار تقریباً هر ۵۰۰ میلیثانیه کلیپ بورد ویندوز را بررسی میکند و میتواند آدرسهای گیرنده کپی شده را قبل از اینکه کاربر آنها را در یک جریان انتقال بچسباند، تعویض کند.
- دادههای سرقت شده از طریق Tor ارسال میشود و این بدافزار همچنین پنج اسکرینشات با فاصله ۱۰ ثانیه از هم میگیرد.
مایکروسافت Trojan:Win32/CryptoBandits را به عنوان یک “Crypto Clipper” که از طریق USB منتقل میشود، نامگذاری کرد.
مایکروسافت یک کمپین “crypto clipper” ویندوزی را فاش کرد که از طریق درایوهای USB آلوده منتشر میشود و به عملیات کیف پولهای رمزارزی حمله میکند. مایکروسافت Defender این تهدید را به عنوان Trojan:Win32/CryptoBandits شناسایی کرده و مایکروسافت اعلام کرد که این کرم از فوریه ۲۰۲۶ فعال بوده است.
برچسب کمتر از روند کاری که هدف قرار میدهد اهمیت دارد. این یک ترفند تزریق مرورگر خاص نیست. این بدافزار برای نشستن بر روی یک ماشین ویندوزی طراحی شده و در لحظه دقیق انتقال وجه که معاملهگران و کاربران حرفهای بهطور معمول به کپی و چسباندن برای جلوگیری از اشتباهات تایپی متکی هستند، مداخله میکند.
از یک کلیک .lnk تا یک انتقال هک شده: نحوه کار تعویض کلیپ بورد
زنجیره عفونت از رسانههای قابل جابجایی آغاز میشود. یک درایو USB آلوده حاوی یک فایل میانبر مخرب ویندوز است که با ".lnk" پایان مییابد. زمانی که کاربر بر روی آن کلیک میکند، میانبر دستورات کنترلشده توسط مهاجم را اجرا میکند که کرم را بر روی کامپیوتر نصب میکند.
زمانی که در سیستم مستقر شد، مولفه سرقت کیف پول تقریباً هر ۵۰۰ میلیثانیه کلیپ بورد ویندوز را زیر نظر دارد. مایکروسافت گفت که به دنبالعبارات دانهکلیدهای خصوصیو آدرسهای دریافتکننده. پرچالشترین بخش از بیشتر سرقتهای کیف پول، وادار کردن کاربر به افشای اسرار است. این کمپین با هدف قرار دادن اجرای انتقال، وابستگی به این موضوع را کاهش میدهد.
رفتار بحرانی استآدرسجایگزینی. زمانی که یک کاربر آدرس یک گیرنده را برای ارسال وجوه کپی میکند، بدافزار میتواند به طور خاموش آن را با یک آدرس تحت کنترل مهاجم قبل از چسباندن جایگزین کند، بدون هیچ نشانه قابل مشاهده. این بدان معناست که یک کاربر میتواند همه چیز را به طور "درست" انجام دهد و هرگز یک عبارت دانه را در یک سایت فیشینگ وارد نکند و هنوز هم در نقطه برداشت یا ارسال زنجیرهای دچار مشکل شود.
دادههای کپیشده از کلیپبورد از طریق شبکه Tor به سرقت میروند. مایکروسافت همچنین گفت که این بدافزار پنج عکسبرداری از صفحه انجام میدهد که با فاصله ده ثانیه از یکدیگر هستند و آنها را به مهاجم ارسال میکند، روشی ساده برای ضبط آنچه در صفحه در حین راهاندازی، ورود به سیستم یا تأیید انتقال نمایش داده میشود.
چرا انتشار USB مدل تهدید را برای عملیات کیف پول تغییر میدهد
انتشار USB این مشکل را از یک مشکل نقطهای به یک مشکل عملیاتی تبدیل میکند. کرم منتظر رسانههای قابل جابجایی اضافی میماند و سپس زمانی که یک درایو USB تمیز به ماشین آلوده وارد میشود، گسترش مییابد.
توصیف مایکروسافت صریح است: بدافزار درایو تمیز را برای فایلهای عادی مانند اسناد ورد، صفحات اکسل و PDF اسکن میکند و سپس آنها را با فایلهای میانبر با نامهای مشابه جایگزین میکند تا درایو را آلوده کند. این یک تله عملی برای جریانهای کاری دفتری است که فایلها را بین ماشینها جابجا میکنند، از جمله عادات نیمههوایی که کاربران فرض میکنند "آفلاین" به معنای ایمن است.
برای معاملهگران، ریسک مرتبه دوم حرکت جانبی به ماشینی است که واقعاً انتقالها را امضا یا مرحلهبندی میکند. یک USB آلوده که برای "فقط جابجایی یک فایل" استفاده میشود، میتواند پل شود.
کتاب بازی Defender: AutoRun، مسدود کردن .lnk، میزبانهای اسکریپت و شکار پورت 9050 Tor
مایکروسافت توصیه کرد که AutoRun را برای رسانههای قابل جابجایی غیرفعال کرده و اجرای .lnk را بر روی درایوهای USB از طریق سیاست گروهی مسدود کند. همچنین توصیه کرد که میزبانهای اسکریپت ویندوز مانند wscript.exe و cscript.exe را که مسیرهای اجرایی رایج برای زنجیرههای بدافزار مبتنی بر میانبر و اسکریپت هستند، محدود کند.
در سمت تشخیص، مایکروسافت گفت که مشتریان Defender میتوانند پرسشهای جستجو برای فعالیتهای مرتبط، از جمله اتصالات سازگار با یک پروکسی محلی Tor در پورت 9050 را اجرا کنند. مایکروسافت همچنین نشانههای نفوذ را برای مدافعان منتشر کرد، از جمله هشهای فایل و دامنههای فرمان و کنترل .onion.
آنچه که هنوز نامشخص است، دامنه است. افشای اطلاعات، همانطور که ارائه شده، تعداد قربانیان، مناطق، برنامههای کیف پول خاص یا وجوه دزدیده شده را کمیت نمیکند. سیگنال ملموس بعدی این خواهد بود که آیا مایکروسافت این جزئیات را گسترش میدهد و آیا تشخیصهای جدید CryptoBandits را به نرمافزار کیف پول خاص یا جریانهای برداشت صرافی مرتبط میکند.
برای شرکتها و تیمهای معاملاتی، تلمتری فوری که باید مراقب آن باشند، اجرای .lnk از رسانههای قابل جابجایی و هرگونه فعالیت شبیه پروکسی Tor در پورت 9050 است، سپس مطابقت با هشهای بهروزرسانی شده مایکروسافت و زیرساخت .onion در برابر لاگهای نقطه پایانی و شبکه.
نظریه مارکوس هیل: حالت شکست خاموش جایگزینی آدرس است، نه سرقت کلید
من این را به عنوان یک مشکل ساختار بازار برای عملیات خودنگهداری در نظر میگیرم، نه یک تیتر درباره "بدافزار جدید". طراحی برای کمترین مسیر سرقت با اصطکاک بهینهسازی شده است: آدرس مقصد را در لحظه انتقال برش بزنید و کاربر بقیه را انجام میدهد. آستانهای که اهمیت دارد این است که آیا مدافعان میتوانند به طور قابل اعتماد اجرای .lnk رسانههای قابل جابجایی و آثار پروکسی Tor را قبل از اینکه اولین ارسال بد انجام شود، شناسایی کنند.
انتشار USB ضربکننده است. اگر الگوی پرش در جریانهای واقعی میز کار حفظ شود، تنظیمات به نظر ساختاری میرسند تا داستانمحور، زیرا به رفتار جابجایی فایل که بسیاری از تیمها هنوز به آن وابستهاند، هدفگذاری میکند. این توسعه از نظر عملی اهمیت دارد اگر CryptoBandits به عنوان .lnk از USB به همراه تلمتری Tor-9050 در محیطهایی که به طور مرتب برداشتها را مرحلهبندی و اجرا میکنند، ظاهر شود.
