Microsoft, kripto para birimi kimlik bilgilerini aramak için USB sürücüler aracılığıyla yayılan ve daha sonra saldırganların kontrolündeki sunuculara gönderen, kendi kendine yayılan yeni kötü amaçlı yazılım tespit ettiğini söyledi.
Şirket, solucana Crypto Clipper adını verdi çünkü cihaz panolarının içeriğini cüzdan adresleri veya tohum ifadeleriyle tutarlı kalıplar açısından izliyor. Kötü amaçlı yazılım bulunduğunda, 10 saniyelik bir süre içinde beş ekran görüntüsü de alır. Daha sonra hem kimlik bilgileri hem de ekran görüntüleri, trafiği yedek düğümler üzerinden göndererek anonim yönlendirme sağlayan bir ağ protokolü olan Tor aracılığıyla saldırgana gönderilir, böylece günlükler hem gönderen hem de alan IP adreslerini yakalayamaz. Crypto Clipper, trafiği bir proxy sunucusu üzerinden gönderen ve daha sonra onu nihai hedefine ileten bir ağ protokolü olan SOCKS5 proxy'yi kullanarak Tor bağlantısını kurar.
Hafif bir arka kapı
Microsoft, "Bu kesme aracının çalışması dikkate değer çünkü geleneksel bir yükleyiciye veya açıkta kalan IP tabanlı C2 altyapısına bağlı değil" dedi.söz konusuPerşembe. "Bunun yerine, taşınabilir bir Tor istemcisi dağıtıyor, trafiği yerel bir SOCKS5 proxy üzerinden yönlendiriyor ve veri hırsızlığını uzaktan kod yürütmeyle birleştirerek finansal motivasyona sahip bir hırsızı hafif bir arka kapıya dönüştürüyor."
