CryptoBandits-malware võimaldab kurjategijatel kasutada teie USB-kettat krüptovaluutaportfellidele ligipääsuks – hoiatab Microsoft
Microsofti viimase krüptoraha tarkvaravärgi uuring viitab krüptoraha portfellidele – ühele mitmest kohast, kus tehingud võivad nurjuda – kui olulisele praktilisele nõrgale kohale isekaitsega (self-custody) portfellides.
Kompromitteeritud Windowsi arvuti saab muuta aadressi, mille kasutaja kopeerib, avaldada seemnefraasi enne tehingu allkirjastamist või saata ekraanipildid ja portfelli kontekst tagasi rünnaku lähtepunktile.
17. juunil avaldatud turvablogi raportis teatas Microsoft, et CryptoBandits-tarkvaravärgi (tuvastatud kui „CryptoBandits.A“) on olnud aktiivne alates veebruarist 2026 ja see on jõudnud süsteemidesse kurjade Windowsi kiirklahvide failide kaudu USB salvestusseadmetel.
Selle tarkvaravärgi eesmärk on ka portfelli saladused varastada, kopeeritud aadresse vahetada ning suhelda käskluste ja juhtimise infrastruktuuriga Tor-teenuse kaudu. Microsoft teatas, et see jälgib lõikepuhvert (clipboard) umbes iga 500 ms järel ning otsib seal seemnefraase, privaatvõtmeid ja portfelli aadresse.
Füüsiliste portfellide kasutamine, aadresside kontrollimine ja seemnefraaside range haldamine jäävad siiski vajalikeks turvameetmeteks. Kuid kui portfelli töövoogu käsitlev lõpp-punkt on kompromitteeritud, võib rünnaku lähtepunkt näha saladust, muuta sihtaadressi või vaadata ekraani enne seda, kui kasutaja märkab midagi valesti.
CryptoSlate on varem juba käsitanud sarnaseid portfelli varastamise mustrite kohta, sealhulgas ClipBanker-stiilis aadressivahetust ja Microsoftiga seotud portfelli tarkvaravärgi. Uus element Microsofti raportis on USB kaudu leviku, lõikepuhvri varastamise, Tor-tee läbi käskluste ja juhtimise ning käitumise tuvastamiseks vajaliku operatsioonijuhendiga ühendamine.
Kuidas CryptoBandits-tarkvaravärgi muudab USB-kiirklahvid täitmiseks
Microsoft teatas, et esmane ligipääs toimub kurjade .lnk-failide kaudu, sealhulgas USB salvestusseadmetel levitatud kiirklahvide kaudu. Analüüsitud juhtudel ettevalmistab kiirklahv ussikomponendi.
Seejärel skaneerib tarkvaravärgi USB-ketas tavalisi dokumentfaile, näiteks .doc, .xlsx ja .pdf, peidab originaalfailid ning loob uued kiirklahvifaile sama nimega.
Tulemus on tuttav püügipükk: kasutaja usub avavat oma dokumenti mobiilselt andmekandjalt, kuid tegelikult käivitab ta ussi koorma. See käitumine vastab laiemale turvamustrile, mida MITRE ATT&CK kirjeldab kui replikatsiooni mobiilselt andmekandjalt, kuid krüptoraha kontekstis on tagajärg otsesem.
Arvuti, mida kasutatakse allkirjastamiseks, kopeerimiseks või portfelli andmete kontrollimiseks, muutub osaks rünnaku ulatuses.
Kui kurja kiirklahvi käivitatakse, teatas Microsoft, et tarkvaravärgi paigutab segatud JavaScripti koorma kausta C:\Users\Public\Documents, kasutab püsivuse tagamiseks planeeritud ülesandeid ning säilitab ühe ülesande uute USB-seadmete rünnakuks. Teine ülesanne käivitab varastamise tegevuse.
Rünnak algab sageli tavapärase failihaldusega. Jagatud USB-ketas, kopeeritud fail või vananenud mobiilselt andmekandjalt põhinev harjumus võib panna portfelli töövoogu käsitleva lõpp-punkti ebaturvalisse olekusse juba enne seda, kui mingit portfelli tarkvara on avatud.
See muudab tavapärase mobiilselt andmekandjalt kasutamise USB-tarkvaravärgi riskiks igale seadmele, mis hiljem puudutab portfelli töövooge.
Siiski on ennetusmeetmed praktilised. Ohtlik hetk on kiirklahvi täitmine ja sellele järgnev püsivus enne portfelli tegevuse alustamist.
Krüptoraha liikumise korral kasutab inimene või meeskond mobiilselt andmekandjalt avatavat seadet samuti selleks, et kopeerida sissemakse-aadressi, kuvada taastamise töövoogu või ettevalmistada rahakottade ülekanne.
Portfelli tegevuste jaoks muutub mobiilselt andmekandjalt poliitika osaks hoiustamise operatsioonidele. Kasutaja või töökoha, kes käsitleb allkirjastamise töökohat üldotstarbelisena, kannatab kõigi sellega seotud dokumentide töövoogude riskidest.
Portfelli tegevusteks kasutatavad seadmed vajavad vähem võimalusi usaldusväliste kiirklahvide, skriptide ja koormade täitmiseks.
Rünnak algab Windowsi kiirklahvi probleemina ja muutub seejärel portfelli kontrolli probleemiks. Kui lõpp-punkt on kompromitteeritud, annab kasutaja tavapärane aadresside kopeerimise, ekraanide kontrollimise ja tehingute ettevalmistamise jada tarkvaravärgile just seda materjali, mille jälgimiseks see on loodud.
Kuidas CryptoBandits-tarkvaravärgi muudab lõikepuhvri tehingu tee
Microsofti analüüs näitab, miks krüptoraha lõikepuhvri (clipper) muutub tõsisemaks, kui fondid on isekaitsega (self-custody). Pärast registreerumist oma käskluste ja juhtimise serveriga siseneb tarkvaravärgi pidevasse tsükli, mis kontrollib lõikepuhvrit umbes iga pool sekundi järel.
See otsib 12- või 24-sõnalisi BIP39 seemnefraase, Bitcoin WIF-võtmeid, Ethereumi võtmeid ja krüptoraha aadresse.
Kui see leiab seemnefraasi või privaatvõtme, teatas Microsoft, et tarkvaravärgi saab need salvestada kohalikult ja välja viia Tor-teenuse kaudu. Kui see näeb kopeeritud krüptoraha aadressi, saab see asendada selle väärtuse rünnaku lähtepunkti kontrolli all oleva aadressiga.
Mitmes aadressivormingus proovib Microsofti teatel tarkvaravärgi teha asendust nii sarnaseks, et see mööduks põhjalikuta kontrollimisest – näiteks sobitades mõne Bitcoin-, Tron- või Monero-aadressi esimesed tähemärgid või muutes mõne Bech32-stiilis Bitcoin-aadressi viimast tähemärki.
Microsoft on lõikepuhvri aadressivahetust aastaid pidanud portfelli varastamise probleemiks. 2022. aasta raportis krüptoraha tarkvaravärgi ja soojades portfellides kirjeldas ettevõte klippimist ja vahetamist kui tehingute lõpetamise eel portfelli andmete üle võtmise tehnikaid.
CryptoBandits.A raport näitab seda mustrit seotuna mobiilselt andmekandjalt leviku ja Tor-põhise käskluste ja juhtimise liiklusega.
Ametlik portfelli tugiülesanded täpsustavad hoiustamise nurga. MetaMaski dokumentatsioon käsitleb seemnefraase ja privaatvõtmeid kui portfelli kontrolli saladusi ning eraldi juhendab kasutajaid kontrollima saaja aadressi enne tehingu kinnitamist.
CryptoBandits.A sihtmärgiks on mõlemad selle töövoogu osad: portfelli kontrolli saladus ja fondide saamise aadress.
| Observed behavior | Custody risk | Practical response |
|---|---|---|
| Kurjad USB-kiirklahvifaile | Tavapärane faili avamise tegevus võib käivitada ussi koorma. | Võimaluse korral keela AutoRun või AutoPlay ja blokeeri .lnk-failide täitmine mobiilselt andmekandjalt. |
| Lõikepuhvri pärimine ja aadressivahetus | Kopeeritud saaja aadressi saab vahetada enne tehingu saatmist. | Kontrolli täielikku sihtaadressi usaldusväärse kuvaga ja välti ainult lõikepuhvri mälu toele toetumist. |
| Seemnefraasi ja privaatvõtme ekstraktimine | Portfelli kontrolli saladused võivad lahku lõpp-punktist enne mingit ahelas toimuvat liikumist. | Hoidke taastamismaterjalid võrgust väljas ja käsitlege selle ekspositsiooni kui portfelli vahetamise sündmust. |
| Ekraanipiltide üleslaadimine | Rünnaku lähtepunkt saab näha portfelli konteksti, saldoid või taastamise töövooge. | Välti tundliku portfelli materjali kuvamist üldkasutatavatel masinatel. |
| Tor-tee läbi käskluste ja juhtimise liiklus localhost:9050 kaudu | Sihtkoha põhine blokeerimine muutub keerukamaks, kuna liiklus suunatakse kohaliku proksi kaudu. | Otsi skriptide ja võrguühenduste ahelaid, curl-tegevust ja kohalikku SOCKS5-proksi käitumist. |
Füüsilised portfellid jätab lõpp-punkti riski töövoogu
See on konkreetne lõpp-punkti hoiatus seadme kohta, mis ümbritseb portfelli. Privaatvõtmete eraldamine jääb üheks tugevaimaks kaitsmeetmeks paljude levinud portfelli rünnakute vastu.
Nõrk eeldus on see, et füüsilise portfelli kaitse katab iga sammu tehingus. Füüsilised portfellid saavad kaitsta allkirjastamisvõtmeid, kuid nad ei saa teha kompromitteeritud arvuti lõikepuhvrit usaldusväärseks. Kui kasutaja kopeerib vahetussaidi sissemakse-aadressi, makse-aadressi või rahakottade ülekanne-aadressi nakatunud masinal, võib tarkvaravärgi seda väärtust muuta enne kleepimist.
Kui kasutaja kontrollib ainult mõnda tuttavat tähemärki, võib sarnaselt välja näiv aadress ikka mööda kiiret ülevaadet minna.
Seemnefraasid teevad raskema katkemooduse. Taastusfraas, mille kasutaja sisestab või kopeerib kompromitteeritud Windowsi masinal, muutub kaugkontrolli riskiks.
Microsoft teatas, et tarkvaravärgi saab tuvastada BIP39-stiilis fraase ja välja viia need käskluste ja juhtimise serverisse. Kui selline saladus on üleval, laieneb risk kaugemale kui üks üksik tehing.
Isikute jaoks on portfelli hügieen osaliselt seadme hügieen. Meeskonna poolt hallatavate fondide puhul peavad hoiustamise protseduurid käsitlema lõpp-punkti käitumist osana tehingu heakskiitmise protsessist.
Arvuti, mida kasutatakse saldo kontrollimiseks, tehingute ettevalmistamiseks, varade ühendamiseks või fondide ülekandmiseks vahetussaidilt, peaks omama erinevat riskiprofiili kui töökohamasin, mis avab ka tundmatuid mobiilselt andmekandjalt.
Kasulik standard on eraldamine. Seade, mis tegeleb portfelli tegevustega, peaks omama vähem põhjusi skriptide täitmiseks, USB-seadmetelt pärit kiirklahvide avamiseks või taastusmaterjali kopeerimiseks lõikepuhvris.
Kui töövoog sõltub kopeerimisest ja kleepimisest, kaalub sihtkoht, mis kuvatakse allkirjastamise seadmel või usaldusväärse kuvaga, rohkem kui aadress brauseris või vestlusaeglas.
Kui töökohamasinat kahtlustatakse nakatumises, muutub reageerimine ka. Eksponeerimine võib hõlmata rohkem kui ühte valesti sisestatud aadressi ühes ootel tehingus.
See võib hõlmata taastusmaterjali, privaatvõtmeid, ekraanipilte ja käskluste täitmist samal masinal. See sunnib remonttegevusi lõpp-punkti isoleerimise, ekspositsiooni all oleva portfelli materjali vahetamise ja selles seadmes ettevalmistatud tehingute ülevaatamise poole.
Tuvastamine sõltub käitumissignaalidest
Microsofti leevendusjuhendid keskenduvad käitumisele. Ettevõte soovitab keelata mobiilselt andmekandjalt AutoRun ja AutoPlay, blokeerida .lnk-failide täitmine mobiilselt andmekandjalt grupipoliitika abil (kus see on võimalik), piirata vajadusetuid skriptide käituskeskkondi, näiteks wscript.exe ja cscript.exe, ning üle vaadata rünnaku pindala vähendamise reeglid segatud skriptide ja kahtlaste alamprotsesside ahelate kohta.
Turvameeskondadele on tugevaimad signaalid käitumispõhised. Microsoft teatas, et kaitsemeeskonnad peaksid uurima juhtumeid, kus skriptimootorid käivitavad tööriistu, näiteks curl, cmd.exe, PowerShelli või ootamatuid käivitusfaile.
Ettevõte nimetas ka kohalikku SOCKS5-proksi tegevust aadressil localhost:9050, lõikepuhvriga seotud käitumist ja PowerShelli ekraanipildi tegevust seadmetel, mis käsitlevad tundlikke rahanduslikke töövooge.
Need signaalid vastavad mitmetele standardsetele ATT&CK-tehnikatele, sealhulgas lõikepuhvri andmete kogumisele, proksi-põhisele käskluste ja juhtimisele ning planeeritud ülesannete püsivusele.
Microsoft Defender loetleb ka tuvastusvõime CryptoBanditsi kohta, sealhulgas Trojan:Win32/CryptoBandits.A ja seotud JavaScripti tuvastused, samuti EDR-katteseadmed kahtlaste JavaScripti protsesside, curl-põhise väljavõtmise ja ülesandelahendaja tegevuse kohta.
Microsofti raport ei avalda ohvrite arvu, kinnitatud varastatud summasid, geograafilist jaotust ega nimetatud tegutsejate identifitseerimist. See piirab iga väite ulatust finantskahjude mastaabi kohta.
Hoiustamise õppetund põhineb vaadeldud käitumisel: portfelli töövoog võib olla kompromitteeritud enne tehingu jõudmist ahelasse.
Otsest järeldust on see, et krüptoraha kasutajad ja operaatorid peaksid käsitlema lõpp-punkte osana portfelli tehnoloogia stack’ist. USB-kontrollid, skriptide piirangud, aadresside kontrollimine ja lõikepuhvri haldamine on osa isekaitsega (self-custody) turvalisusest.
Need on tee, mille tehing läbib enne ahelasse jõudmist.
Postitus „CryptoBandits malware lets criminals use your USB drive to access crypto wallets – Microsoft warns“ ilmus esmakordselt CryptoSlate’is.
Teile võib meeldida ka
Western Digitali (WDC) aktsiad tõusid 333%, kuna AI andmemahtude nõudlus kasvas äärmiselt
Kaheksa kümnendit pärast on Nigeeria 3G-aeg lähemas oma viimasele kõnepäevale
Korea laiab välja CBDC katseprojekti reaalmaailma maksete ja avalike tehingute suunas
