AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
Kripto
Trading

Microsoft, USB ile yayılan CryptoBandits zararlısını uyardı

Windows solucanı, kötü niyetli .lnk kısayolları kullanır, pano verilerini her ~500 ms'de bir kontrol eder ve verileri Tor üzerinden dışarı sızdırır.

Yazan: AI News Crypto Editorial Team5 dk okuma

Microsoft, Şubat 2026'dan beri kripto cüzdan faaliyetlerini hedef alan Trojan:Win32/CryptoBandits olarak tespit edilen bir USB yayılımlı Windows solucanı açıkladı. Kötü amaçlı yazılım, panoyu tohum ifadeleri, özel anahtarlar ve alıcı adresleri için izler ve kopyalanan hedef adreslerini sessizce değiştirebilir.

Anahtar Çıkarımlar

  • Trojan:Win32/CryptoBandits olarak izlenen bir USB kaynaklı Windows solucanı, Şubat 2026'dan beri kripto cüzdan faaliyetlerini hedef alıyor.
  • İlk enfeksiyon, enfekte bir USB sürücüsüne yerleştirilen kötü niyetli bir Windows kısayoluna (.lnk) tek bir tıklama ile başlayabilir.
  • Yük, Windows panosunu yaklaşık her 500 milisaniyede bir sorgular ve kullanıcıların bunları bir transfer akışına yapıştırmadan önce kopyalanan alıcı adreslerini değiştirebilir.
  • Çalınan veriler Tor üzerinden gönderilir ve kötü amaçlı yazılım ayrıca 10 saniye aralıklarla beş ekran görüntüsü yakalar.

Microsoft, Trojan:Win32/CryptoBandits'i bir USB kaynaklı 'Kripto Clipper' olarak adlandırdı.

Microsoft, enfekte USB sürücüleri aracılığıyla yayılan ve kripto cüzdan işlemlerini hedef alan bir Windows 'kripto clipper' kampanyasını açıkladı. Microsoft Defender, tehdidi Trojan:Win32/CryptoBandits olarak tespit ediyor ve Microsoft, solucanın Şubat 2026'dan beri aktif olduğunu söyledi.

Etiket, hedeflediği iş akışından daha az önemlidir. Bu, niş bir tarayıcı enjekte etme numarası değildir. Windows makinesinde oturacak ve fonların hareket ettiği tam anda müdahale etmek için tasarlanmıştır; burada yatırımcılar ve güç kullanıcıları genellikle yazım hatalarını önlemek için kopyala ve yapıştır yaparlar.

.lnk Tıklamasından Ele Geçirilmiş Bir Transfer: Panoyu Değiştirmenin Nasıl Çalıştığı

Enfeksiyon zinciri çıkarılabilir medyada başlar. Enfekte bir USB sürücü, “.lnk” ile biten kötü niyetli bir Windows kısayol dosyası içerir. Bir kullanıcı buna tıkladığında, kısayol, PC'ye solucanı yükleyen saldırgan kontrolündeki komutları çalıştırır.

Bir kez yerleştiğinde, cüzdan çalma bileşeni Windows panosunu yaklaşık her 500 milisaniyede bir izler. Microsoft, bunun için aradığını söyledi.tohum ifadeleriözel anahtarlarve alıcı adresleri. Çoğu cüzdan hırsızlığının en yüksek sürtünme noktası, bir kullanıcının sırlarını teslim etmesini sağlamaktır. Bu kampanya, bunun yerine transferin gerçekleştirilmesine odaklanarak bu bağımlılığı azaltır.

Kritik davranış şudur:adresdeğiştirme. Bir kullanıcı, fon göndermek için bir alıcı adresini kopyaladığında, kötü amaçlı yazılım bunu yapıştırmadan önce, görünür bir ipucu olmadan, saldırgan kontrolündeki bir adresle sessizce değiştirebilir.

Bu, bir kullanıcının hiçbir şey "yanlış" yapmadan, asla bir adresi yazmadan her şeyi "doğru" yapabileceği anlamına gelir.tohum ifadesibir oltalama sitesine ve hala çekim veya zincir üzerindeki gönderim noktasında yakalanmak.

Kopyalanan veri, Tor ağı üzerinden dışarıya sızdırılıyor. Microsoft ayrıca kötü amaçlı yazılımın, on saniye arayla beş ekran görüntüsü aldığını ve bunları saldırgana gönderdiğini belirtti; bu, kurulum, giriş veya transfer onayı sırasında ekranda ne olduğunu yakalamanın basit bir yolu.

USB Yayılımı Cüzdan Operasyonları için Tehdit Modelini Neden Değiştiriyor

USB yayılımı, bu durumu tek bir uç nokta sorunundan operasyonel bir soruna dönüştürüyor. Solucan, ek çıkarılabilir medya için bekliyor, ardından temiz bir USB sürücüsü enfekte makineye takıldığında yayılıyor.

Microsoft'un tanımı açık: kötü amaçlı yazılım, temiz sürücüyü Word belgeleri, Excel tabloları ve PDF'ler gibi sıradan dosyalar için tarıyor, ardından bunları enfekte sürücüye bulaşmak için aynı isimdeki kısayol dosyalarıyla değiştiriyor. Bu, dosyaları makineler arasında taşıyan masaüstü iş akışları için pratik bir tuzak; kullanıcıların “çevrimdışı”nın güvenli olduğunu varsaydığı yarı hava boşluğu alışkanlıklarını da içeriyor.

Tüccarlar için, ikinci dereceden risk, transferleri gerçekten imzalayan veya sahneleyen makineye yatay hareket etmektir. “Sadece bir dosya taşımak” için kullanılan tek bir kontamine USB köprü haline gelebilir.

Defender Oyun Kitabı: AutoRun, .lnk Engelleme, Script Host'lar ve Tor Port 9050 Avı

Microsoft, çıkarılabilir medya için AutoRun'ı devre dışı bırakmayı ve USB sürücülerde .lnk yürütmesini Grup Politikası aracılığıyla engellemeyi önerdi. Ayrıca, kısayol tabanlı ve script tabanlı kötü amaçlı yazılım zincirleri için yaygın yürütme yolları olan wscript.exe ve cscript.exe gibi Windows script host'larını kısıtlamayı tavsiye etti.

Tespit tarafında, Microsoft Defender müşterilerinin, port 9050'de yerel bir Tor proxy'si ile tutarlı bağlantılar da dahil olmak üzere ilgili etkinlikler için av sorguları çalıştırabileceğini söyledi. Microsoft ayrıca, dosya hash'leri ve .onion komut ve kontrol alanları da dahil olmak üzere savunucular için tehlike göstergeleri yayınladı.

Belirsiz kalan şey kapsamdır. Sağlanan açıklama, kurban sayısını, bölgeleri, belirli cüzdan uygulamalarını veya çalınan fonları nicelendiriyor değil. Bir sonraki somut sinyal, Microsoft'un bu ayrıntıları genişletip genişletmeyeceği ve yeni tespitlerin CryptoBandits'i belirli cüzdan yazılımları veya borsa çekim iş akışlarıyla ilişkilendirip ilişkilendirmeyeceğidir.

Kurumlar ve ticaret ekipleri için, izlenmesi gereken hemen hemen telemetri, çıkarılabilir medyadan .lnk yürütmesi ve port 9050'deki herhangi bir Tor-proxy benzeri etkinliktir; ardından Microsoft'un güncellenmiş hash'lerini ve .onion altyapısını uç nokta ve ağ günlükleriyle eşleştirmektir.

Marcus Hale'in Görüşü: Sessiz Başarısızlık Modu Anahtar Hırsızlığı Değil, Adres Değiştirmedir

Bunu bir piyasa yapısı sorunu olarak ele alıyorum, self-custody operasyonları için, “yeni kötü amaçlı yazılım” hakkında bir başlık değil. Tasarım, en düşük sürtünme ile hırsızlık yolunu optimize etmek için tasarlanmıştır: transfer anında hedef adresi kesmek ve kullanıcı geri kalanını yapar.

Önemli olan eşik, savunucuların ilk kötü gönderim çıkmadan önce çıkarılabilir medya .lnk yürütme ve Tor proxy kalıntılarını güvenilir bir şekilde ortaya çıkarıp çıkaramayacaklarıdır.

USB yayılımı çarpandır. Eğer bu atlama deseni gerçek masaüstü iş akışlarında devam ederse, kurulum yapısal görünmeye başlar, anlatı odaklı değil, çünkü birçok ekibin hala güvendiği dosya taşıma davranışını hedef alır. Bu gelişme pratik anlamda önemlidir eğer CryptoBandits, düzenli olarak para çekme işlemleri gerçekleştiren ortamlarda tekrarlanabilir .lnk-USB artı Tor-9050 telemetresi olarak ortaya çıkarsa.

Kaynaklar