بدافزار CryptoBandits به مجرمان اجازه می‌دهد از درایو USB شما برای دسترسی به کیف پول‌های ارز دیجیتال استفاده کنند – هشدار مایکروسافت

جدیدترین تحقیقات مایکروسافت درباره بدافزارهای ارز دیجیتال، به کیف‌پول‌های دیجیتال به عنوان یک ضعف عملی کلیدی در نگهداری شخصی (self-custody) اشاره می‌کند؛ کیف‌پول‌ها یکی از چندین نقطه‌ای هستند که ممکن است یک تراکنش در آن‌ها با شکست مواجه شود.

یک دستگاه ویندوزی آلوده می‌تواند آدرسی که کاربر کپی می‌کند را تغییر دهد، عبارت بازیابی را پیش از امضای انتقال افشا کند، یا اسکرین‌شات و اطلاعات محیط کیف‌پول را برای مهاجم ارسال کند.

مایکروسافت در گزارش وبلاگ امنیتی مورخ ۱۷ ژوئن اعلام کرد که بدافزار CryptoBandits با شناسه "CryptoBandits.A" از فوریه ۲۰۲۶ فعال بوده و از طریق فایل‌های میانبر مخرب ویندوز روی دستگاه‌های ذخیره‌سازی USB به سیستم‌ها نفوذ کرده است.

این بدافزار همچنین اسرار کیف‌پول را سرقت می‌کند، آدرس‌های کپی‌شده را جابجا می‌کند و از طریق Tor با زیرساخت فرمان‌دهی و کنترل ارتباط برقرار می‌کند. مایکروسافت اعلام کرد این بدافزار تقریباً هر ۵۰۰ میلی‌ثانیه یک‌بار کلیپ‌بورد را بررسی کرده و به دنبال عبارت‌های بازیابی، کلیدهای خصوصی و آدرس‌های کیف‌پول می‌گردد.

کیف‌پول‌های سخت‌افزاری، بررسی آدرس‌ها و انضباط در نگهداری عبارت بازیابی همچنان کنترل‌های ضروری به شمار می‌روند. اما اگر نقطه پایانی (endpoint) که جریان کاری کیف‌پول را مدیریت می‌کند در معرض خطر قرار گیرد، مهاجم ممکن است رمز را ببیند، مقصد را تغییر دهد یا صفحه را پیش از آنکه کاربر متوجه مشکل شود، مشاهده کند.

CryptoSlate پیش از این الگوهای مشابه سرقت کیف‌پول را پوشش داده، از جمله جابجایی آدرس به سبک ClipBanker و بدافزارهای مرتبط با مایکروسافت. عنصر جدید در گزارش مایکروسافت ترکیبی از انتشار از طریق USB، سرقت کلیپ‌بورد، کنترل مسیریابی‌شده از طریق Tor و راهنمایی عملیاتی برای شناسایی این رفتار است.

چگونه بدافزار CryptoBandits میانبرهای USB را به ابزار اجرا تبدیل می‌کند

مایکروسافت اعلام کرد دسترسی اولیه از طریق فایل‌های مخرب .lnk، از جمله میانبرهای توزیع‌شده روی دستگاه‌های ذخیره‌سازی USB، صورت می‌گیرد. در مواردی که مایکروسافت تحلیل کرده، میانبر یک مؤلفه کرم (worm) را در مراحل اولیه فعال می‌کند.

سپس بدافزار درایو USB را برای فایل‌های سند رایج مانند .doc، .xlsx و .pdf اسکن می‌کند، فایل‌های اصلی را پنهان می‌کند و فایل‌های میانبر جدیدی با همان نام‌های فایل می‌سازد.

نتیجه یک دام آشنا است: کاربر فکر می‌کند دارد یک سند از رسانه قابل‌حمل باز می‌کند، اما در واقع بار کرم (worm payload) را اجرا می‌کند. این رفتار با الگوی امنیتی گسترده‌تری که MITRE ATT&CK آن را به عنوان تکثیر از طریق رسانه قابل‌حمل توصیف می‌کند مطابقت دارد، اما پیامد مختص ارز دیجیتال آن مستقیم‌تر است.

دستگاهی که برای امضا، کپی یا بررسی جزئیات کیف‌پول استفاده می‌شود، بخشی از سطح حمله می‌شود.

مایکروسافت گفت پس از اجرای میانبر مخرب، بدافزار بارهای JavaScript مبهم‌سازی‌شده را در مسیر C:\Users\Public\Documents رها می‌کند، از وظایف زمان‌بندی‌شده برای ماندگاری استفاده می‌کند و یک وظیفه را برای انتشار به درایوهای USB تازه وارد‌شده متمرکز نگه می‌دارد. وظیفه دیگری فعالیت سرقت را اجرا می‌کند.

حمله اغلب با مدیریت فایل عادی آغاز می‌شود. یک درایو USB مشترک، یک فایل کپی‌شده، یا یک عادت قدیمی با رسانه قابل‌حمل می‌تواند یک نقطه پایانی مدیریت کیف‌پول را پیش از باز شدن هر نرم‌افزار کیف‌پولی به حالت ناامن ببرد.

این موضوع استفاده معمول از رسانه قابل‌حمل را به یک خطر بدافزار USB برای هر دستگاهی تبدیل می‌کند که بعداً با جریان‌های کاری کیف‌پول در تماس باشد.

با این حال، روش‌های پیشگیری عملی هستند. لحظه پرخطر، اجرای میانبر و ماندگاری پس از آن است، پیش از آنکه هر اقدام کیف‌پولی آغاز شود.

برای یک فرد یا تیمی که ارز دیجیتال جابجا می‌کند، دستگاهی که رسانه قابل‌حمل را باز می‌کند ممکن است همان دستگاهی باشد که بعداً آدرس واریز را کپی می‌کند، جریان بازیابی را نمایش می‌دهد یا یک انتقال خزانه را آماده می‌کند.

برای عملیات کیف‌پول، سیاست رسانه قابل‌حمل بخشی از عملیات حضانت می‌شود. کاربر یا میزی که یک ایستگاه کاری امضا را به عنوان کامپیوتر همه‌منظوره تلقی می‌کند، خطرات هر جریان کاری سندی که با آن دستگاه مرتبط است را به ارث می‌برد.

دستگاه‌هایی که برای فعالیت کیف‌پول استفاده می‌شوند، به روش‌های کمتری برای اجرای میانبرها، اسکریپت‌ها و بارهای غیرقابل اعتماد نیاز دارند.

حمله به عنوان یک مشکل میانبر ویندوز آغاز می‌شود و سپس به یک مشکل کنترل کیف‌پول تبدیل می‌شود. هنگامی که نقطه پایانی در معرض خطر قرار می‌گیرد، توالی عادی کاربر برای کپی آدرس‌ها، بررسی صفحه‌ها و آماده‌سازی تراکنش‌ها، دقیقاً همان موادی را به بدافزار می‌دهد که برای نظارت بر آن‌ها ساخته شده است.

چگونه بدافزار CryptoBandits کلیپ‌بورد را به مسیر تراکنش تبدیل می‌کند

تحلیل مایکروسافت نشان می‌دهد که چرا یک کلیپر ارز دیجیتال هنگامی که وجوه به صورت شخصی نگهداری می‌شوند، شدت می‌یابد. پس از ثبت‌نام در سرور فرمان‌دهی و کنترل، بدافزار وارد یک حلقه پیوسته می‌شود که تقریباً هر نیم ثانیه یک‌بار کلیپ‌بورد را بررسی می‌کند.

این بدافزار به دنبال عبارت‌های بازیابی BIP39 با ۱۲ یا ۲۴ کلمه، کلیدهای WIF بیت‌کوین، کلیدهای اتریوم و آدرس‌های ارز دیجیتال می‌گردد.

مایکروسافت گفت اگر بدافزار یک عبارت بازیابی یا کلید خصوصی پیدا کند، می‌تواند آن را به صورت محلی ذخیره کرده و از طریق Tor استخراج کند. اگر یک آدرس ارز دیجیتال کپی‌شده ببیند، می‌تواند آن مقدار را با یک آدرس تحت کنترل مهاجم جایگزین کند.

مایکروسافت گفت برای چندین فرمت آدرس، بدافزار تلاش می‌کند جایگزینی را به اندازه کافی مشابه نشان دهد تا از بررسی‌های سرسری فرار کند؛ مانند تطابق کاراکترهای اول برخی آدرس‌های بیت‌کوین، ترون یا مونرو، یا تغییر فقط آخرین کاراکتر در برخی آدرس‌های بیت‌کوین به سبک Bech32.

مایکروسافت سال‌هاست که جایگزینی آدرس کلیپ‌بورد را به عنوان یک مشکل سرقت کیف‌پول در نظر می‌گیرد. در گزارش ۲۰۲۲ درباره cryware و کیف‌پول‌های داغ، این شرکت clipping و switching را به عنوان تکنیک‌هایی توصیف کرد که داده‌های کیف‌پول را پیش از تکمیل تراکنش رهگیری می‌کنند.

گزارش CryptoBandits.A این الگو را به انتشار از طریق رسانه قابل‌حمل و ترافیک فرمان مبتنی بر Tor مرتبط می‌کند.

راهنمای رسمی پشتیبانی کیف‌پول، زاویه حضانت را تیزتر می‌کند. مستندات متامسک عبارت‌های بازیابی و کلیدهای خصوصی را به عنوان اسرار کنترل کیف‌پول در نظر می‌گیرد و جداگانه به کاربران توصیه می‌کند آدرس‌های گیرنده را پیش از تأیید ارسال تأیید کنند.

CryptoBandits.A هر دو طرف آن جریان کاری را هدف قرار می‌دهد: رمزی که کیف‌پول را کنترل می‌کند و آدرسی که وجوه را دریافت می‌کند.

کیف‌پول‌های سخت‌افزاری خطر نقطه پایانی را در جریان کاری باقی می‌گذارند

این یک هشدار نقطه پایانی خاص درباره دستگاه اطراف کیف‌پول است. نگه داشتن کلیدهای خصوصی در حالت ایزوله یکی از قوی‌ترین دفاع‌ها در برابر بسیاری از حملات رایج کیف‌پول باقی می‌ماند.

یک فرض ضعیف این است که حفاظت سخت‌افزاری هر مرحله از یک تراکنش را پوشش می‌دهد. کیف‌پول‌های سخت‌افزاری می‌توانند کلیدهای امضا را محافظت کنند، اما نمی‌توانند کلیپ‌بورد یک کامپیوتر آلوده را قابل اعتماد کنند. اگر کاربر یک آدرس واریز صرافی، یک آدرس پرداخت یا یک آدرس انتقال خزانه را روی یک دستگاه آلوده کپی کند، بدافزار ممکن است مقدار را پیش از paste کردن توسط کاربر تغییر دهد.

اگر کاربر تنها چند کاراکتر آشنا را بررسی کند، یک آدرس جایگزین که طراحی شده تا مشابه به نظر برسد ممکن است از یک بررسی شتابزده عبور کند.

عبارت‌های بازیابی یک حالت خرابی جدی‌تر ایجاد می‌کنند. یک عبارت بازیابی که در یک دستگاه ویندوزی آلوده تایپ یا کپی شود، به یک خطر نفوذ از راه دور تبدیل می‌شود.

مایکروسافت گفت بدافزار می‌تواند عبارت‌های به سبک BIP39 را شناسایی کرده و آن‌ها را به سرور فرمان‌دهی و کنترل استخراج کند. هنگامی که چنین رازی افشا شود، خطر فراتر از یک تلاش انتقال واحد گسترش می‌یابد.

برای افراد، بهداشت کیف‌پول تا حدی بهداشت دستگاه است. برای وجوه مدیریت‌شده توسط تیم‌ها، رویه‌های حضانت باید رفتار نقطه پایانی را به عنوان بخشی از فرآیند تأیید تراکنش در نظر بگیرند.

یک دستگاه که برای بررسی موجودی‌ها، آماده‌سازی انتقال‌ها، پل زدن دارایی‌ها یا جابجایی وجوه از یک صرافی استفاده می‌شود باید پروفایل ریسک متفاوتی از یک ایستگاه کاری که رسانه قابل‌حمل ناشناس را نیز باز می‌کند داشته باشد.

استاندارد مفید جداسازی است. یک دستگاه که فعالیت کیف‌پول را مدیریت می‌کند باید دلایل کمتری برای اجرای اسکریپت‌ها، باز کردن میانبرها از درایوهای USB یا کپی مواد بازیابی از طریق کلیپ‌بورد داشته باشد.

وقتی یک جریان کاری به copy-and-paste وابسته است، مقصد نمایش‌داده‌شده روی دستگاه امضا یا نمایشگر قابل اعتماد وزن بیشتری نسبت به آدرس نمایش‌داده‌شده در یک مرورگر یا پنجره چت دارد.

اگر به یک ایستگاه کاری ظن افشاشدن وجود داشته باشد، پاسخ نیز تغییر می‌کند. افشاشدن می‌تواند بیش از یک آدرس بد در یک تراکنش معلق واحد را شامل شود.

ممکن است شامل مواد بازیابی، کلیدهای خصوصی، اسکرین‌شات‌ها و اجرای فرمان روی همان دستگاه باشد. این موضوع اقدامات اصلاحی را به سمت ایزوله کردن نقطه پایانی، چرخاندن مواد کیف‌پول افشاشده و بررسی هر انتقال آماده‌شده روی آن دستگاه سوق می‌دهد.

شناسایی به سیگنال‌های رفتاری بستگی دارد

راهنمای کاهش خطر مایکروسافت بر رفتار تمرکز دارد. این شرکت توصیه می‌کند AutoRun و AutoPlay برای رسانه قابل‌حمل غیرفعال شوند، اجرای .lnk از درایوهای قابل‌حمل در صورت امکان از طریق Group Policy مسدود شود، استفاده غیرضروری از هاست‌های اسکریپت مانند wscript.exe و cscript.exe محدود شود، و قوانین کاهش سطح حمله (Attack Surface Reduction) برای اسکریپت‌های مبهم‌سازی‌شده و زنجیره‌های فرآیند فرزند مشکوک بررسی شود.

برای تیم‌های امنیتی، قوی‌ترین سیگنال‌ها رفتاری هستند. مایکروسافت گفت مدافعان باید مواردی را که موتورهای اسکریپت ابزارهایی مانند curl، cmd.exe، PowerShell یا فایل‌های اجرایی غیرمنتظره را راه‌اندازی می‌کنند بررسی کنند.

این شرکت همچنین به فعالیت پراکسی SOCKS5 محلی روی localhost:9050، رفتار مرتبط با کلیپ‌بورد و فعالیت گرفتن اسکرین‌شات توسط PowerShell روی دستگاه‌هایی که جریان‌های کاری مالی حساس را مدیریت می‌کنند اشاره کرد.

این سیگنال‌ها با چندین تکنیک استاندارد ATT&CK هم‌راستا هستند، از جمله جمع‌آوری داده‌های کلیپ‌بورد، فرمان‌دهی و کنترل مبتنی بر پراکسی، و ماندگاری وظایف زمان‌بندی‌شده.

Microsoft Defender همچنین قابلیت شناسایی CryptoBandits را فهرست می‌کند، از جمله Trojan:Win32/CryptoBandits.A و شناسایی‌های مرتبط JavaScript، همراه با پوشش EDR برای فرآیندهای مشکوک JavaScript، استخراج مبتنی بر curl و فعالیت Task Scheduler.

گزارش مایکروسافت تعداد قربانیان، مجموع دزدی‌های تأییدشده، توزیع جغرافیایی و انتساب به بازیگران نام‌برده‌شده را فاش نمی‌کند. این موضوع هرگونه ادعا درباره مقیاس آسیب مالی را محدود می‌کند.

درس حضانت بر اساس رفتار مشاهده‌شده باقی می‌ماند: یک جریان کاری کیف‌پول می‌تواند پیش از رسیدن تراکنش به زنجیره در معرض خطر قرار گیرد.

نتیجه‌گیری فوری این است که کاربران و اپراتورهای ارز دیجیتال باید نقاط پایانی را به عنوان بخشی از پشته کیف‌پول تلقی کنند. کنترل‌های USB، محدودیت‌های اسکریپت، تأیید آدرس و انضباط کلیپ‌بورد بخشی از امنیت نگهداری شخصی هستند.

آن‌ها مسیری هستند که یک تراکنش پیش از رسیدن به زنجیره طی می‌کند.

این مطلب با عنوان «بدافزار CryptoBandits به مجرمان امکان می‌دهد از درایو USB شما برای دسترسی به کیف‌پول‌های ارز دیجیتال استفاده کنند – مایکروسافت هشدار می‌دهد» برای اولین بار در CryptoSlate منتشر شد.