原文:Microsoft warns users of 'Crypto Clipper' malware spread via USB drives
微软表示,该恶意软件将数据窃取与远程代码执行相结合,“将出于经济动机的窃取者变成了轻量级后门”。
Microsoft 威胁情报警告 Windows 用户有关通过 USB 驱动器传输的加密货币 Clipper 恶意软件菌株。
微软周三表示,该恶意软件自 2 月份以来一直影响用户,通过“高频剪贴板盗窃、屏幕截图泄露和钱包地址替换”窃取剪贴板数据以提取钱包凭据。
加密剪辑器还隐藏合法文件并用相似的快捷方式替换它们,因此受害者在不知不觉中执行恶意软件,同时蠕虫组件自动传播到 USB 存储设备。
这种恶意软件非常阴险,因为它不仅仅是一个信息窃取程序,它还充当后门,这意味着攻击者可以随时在受感染的计算机上推送和执行任意代码,将简单的加密盗窃变成勒索软件的持久立足点。
微软研究人员表示,这个剪辑器的执行也值得注意,因为它不依赖于传统的安装程序或公开的基于 IP 的基础设施。
“这个恶意软件家族展示了轻量级、基于脚本的窃取程序在与匿名通信和运行时任务配合使用时如何产生巨大的影响。”
用于混淆的 Tor 网络
该恶意软件在 Windows 文档目录中部署两个混淆的 JavaScript 有效负载,并为蠕虫和窃取程序组件创建计划任务。
该恶意软件还会在受害者的计算机上秘密安装 Tor 的副本,但将其重命名为 ugate.exe 以将其伪装成无辜的东西。然后,它使用匿名 Tor 网络通过隐藏的“洋葱”地址连接到其恶意操作者。
相关:“TrapDoor”恶意软件在供应链攻击中针对加密开发工具
“Tor 路由的 C2、剪贴板目标、屏幕截图和远程代码执行的结合为攻击者提供了直接的获利路径和持续的骗局