Microsoft dice que ha detectado un nuevo malware que se propaga a través de unidades USB para buscar credenciales de criptomonedas, que luego se envían a servidores controlados por el atacante.
La compañía nombró al gusano Crypto Clipper porque monitorea el contenido del portapapeles de un dispositivo en busca de patrones consistentes con una dirección de billetera o frase inicial. Cuando se descubrió, el malware también tomó cinco capturas de pantalla en un período de 10 segundos. Luego, las credenciales y las capturas de pantalla se envían al atacante a través de Tor, un protocolo de red que proporciona enrutamiento anónimo enviando tráfico a través de nodos redundantes para que los registros no puedan capturar las direcciones IP del remitente y del destinatario. Crypto Clipper crea conexiones Tor mediante el uso de un proxy SOCKS5, un protocolo de red que envía tráfico a través de un servidor proxy, que luego lo reenvía a su destino final.
puerta trasera iluminada
“Esta ejecución de clipper es importante porque no depende de instaladores tradicionales ni de una infraestructura C2 abierta basada en IP”, Microsoft dicho Jueves. “En cambio, implementa un cliente Tor portátil, dirige el tráfico a través de un proxy SOCKS5 local y combina el robo de datos con la ejecución remota de código, convirtiendo a un ladrón con motivación financiera en una puerta trasera liviana”.
Microsoft dijo que observó la propagación de Crypto Clipper .enlace archivos en la unidad USB. Estos archivos almacenan código ejecutable. Cuando se conecta una unidad USB infectada a un dispositivo, el código verificará si la unidad ya está instalada en la máquina. De lo contrario, el malware lo descargará a través del proxy Tor. Para ocultar mejor la evidencia del gusano, el malware escanea la unidad USB infectada y nombra el archivo .lnk con un nombre similar.
