A Microsoft afirma ter detectado um novo malware de autopropagação que se espalha por unidades USB em busca de credenciais de criptomoeda, que depois envia para servidores controlados por invasores.
A empresa batizou o worm de Crypto Clipper porque ele monitora o conteúdo das pranchetas dos dispositivos em busca de padrões consistentes com endereços de carteira ou frases iniciais. Quando encontrado, o malware também tira cinco capturas de tela em um período de 10 segundos. Tanto as credenciais quanto as capturas de tela são enviadas ao invasor por meio do Tor, um protocolo de rede que fornece roteamento anônimo, enviando tráfego através de nós redundantes para que os logs não possam capturar os endereços IP de envio e recebimento. O Crypto Clipper estabelece a conexão Tor usando um proxy SOCKS5, um protocolo de rede que envia o tráfego através de um servidor proxy, que o encaminha ao seu destino final.
Uma porta traseira leve
“A execução deste clipper é notável porque não depende de um instalador tradicional ou de uma infraestrutura C2 baseada em IP exposta”, disse a Microsoft. disse Quinta-feira. “Em vez disso, ele implanta um cliente Tor portátil, roteia o tráfego por meio de um proxy SOCKS5 local e combina roubo de dados com execução remota de código, transformando um ladrão motivado financeiramente em um backdoor leve.”
Leia o artigo completo
Comentários
Leave a comment