Programul malware CryptoBandits permite infractorilor să folosească unitatea dvs. USB pentru a accesa portofelele crypto – avertizează Microsoft

Cele mai recente cercetări Microsoft privind programele malware cripto indică portofelele cripto, unul dintre locurile în care o tranzacție poate eșua, ca o vulnerabilitate practică cheie în auto-custodie.

Un computer Windows compromis poate modifica adresa copiată de un utilizator, poate expune o frază seed înainte ca un transfer să fie semnat sau poate trimite capturi de ecran și contextul portofelului înapoi către un atacator.

Într-un raport publicat pe 17 iunie în Security Blog, Microsoft a declarat că programul malware CryptoBandits, detectat ca „CryptoBandits.A", a fost activ începând cu februarie 2026 și a ajuns pe sisteme prin fișiere de comenzi rapide Windows malițioase de pe dispozitive de stocare USB.

Programul malware fură și secretele portofelului, înlocuiește adresele copiate și comunică cu infrastructura de comandă și control prin Tor. Microsoft a declarat că monitorizează clipboard-ul aproximativ la fiecare 500 de milisecunde și caută fraze seed, chei private și adrese de portofele.

Portofelele hardware, verificările adreselor și disciplina frazelor seed rămân controale necesare. Dar dacă endpoint-ul care gestionează fluxul de lucru al portofelului este compromis, atacatorul poate vedea secretul, poate schimba destinația sau poate observa ecranul înainte ca utilizatorul să observe că ceva nu este în regulă.

CryptoSlate a abordat anterior tipare similare de furt de portofele, inclusiv înlocuirea adreselor de tip ClipBanker și programe malware pentru portofele asociate Microsoft. Elementul nou din raportul Microsoft este combinația dintre propagarea prin USB, furtul din clipboard, controlul rutat prin Tor și îndrumările operaționale pentru detectarea comportamentului.

Cum transformă programul malware CryptoBandits comenzile rapide USB în execuție

Microsoft a declarat că accesul inițial are loc prin fișiere .lnk malițioase, inclusiv comenzi rapide distribuite pe dispozitive de stocare USB. În cazurile analizate de Microsoft, comanda rapidă pregătește o componentă de tip vierme.

Programul malware scanează apoi unitatea USB pentru fișiere de documente comune, cum ar fi .doc, .xlsx și .pdf, ascunde originalele și creează noi fișiere de comenzi rapide cu aceleași nume de fișiere.

Rezultatul este o capcană familiară: un utilizator crede că deschide un document de pe un suport amovibil, dar lansează de fapt sarcina utilă a viermului. Acel comportament corespunde tiparului de securitate mai larg pe care MITRE ATT&CK îl descrie ca replicare prin suporturi amovibile, dar consecința specifică criptomonedelor este mai directă.

Un computer utilizat pentru semnare, copiere sau verificarea detaliilor portofelului devine parte din suprafața de atac.

Odată ce comanda rapidă malițioasă rulează, Microsoft a declarat că programul malware depune sarcini utile JavaScript ofuscate în C:\Users\Public\Documents, utilizează sarcini programate pentru persistență și menține o sarcină axată pe răspândirea pe unitățile USB nou introduse. O altă sarcină rulează activitatea de furt.

Atacul începe adesea cu manipularea obișnuită a fișierelor. O unitate USB partajată, un fișier copiat sau un obicei vechi legat de suporturile amovibile poate plasa un endpoint de gestionare a portofelului într-o stare nesigură înainte ca orice software de portofele să fie deschis.

Aceasta transformă utilizarea obișnuită a suporturilor amovibile într-un risc de malware USB pentru orice dispozitiv care ulterior atinge fluxurile de lucru ale portofelului.

Cu toate acestea, metodele de prevenire sunt practice. Momentul riscant este execuția comenzii rapide și persistența care urmează, înainte ca o acțiune asupra portofelului să înceapă.

Pentru o persoană sau o echipă care transferă criptomonede, dispozitivul care deschide suporturile amovibile poate fi și cel care ulterior copiază o adresă de depozit, afișează un flux de recuperare sau pregătește un transfer de trezorerie.

Pentru operațiunile cu portofele, politica privind suporturile amovibile devine parte din operațiunile de custodie. Un utilizator sau un birou care tratează o stație de lucru de semnare ca pe un computer de uz general moștenește riscurile fiecărui flux de lucru documentar asociat acelei mașini.

Dispozitivele utilizate pentru activitatea cu portofele au nevoie de mai puține modalități de a executa comenzi rapide, scripturi și sarcini utile neîncrezătoare.

Atacul începe ca o problemă de comenzi rapide Windows și devine apoi o problemă de control al portofelului. Odată ce endpoint-ul este compromis, secvența normală a utilizatorului de copiere a adreselor, verificare a ecranelor și pregătire a tranzacțiilor oferă programului malware exact materialul pentru care a fost construit să urmărească.

Cum face programul malware CryptoBandits din clipboard calea tranzacției

Analiza Microsoft arată de ce un clipper cripto devine grav atunci când fondurile sunt în auto-custodie. După înregistrarea cu serverul său de comandă și control, programul malware intră într-o buclă continuă care verifică clipboard-ul aproximativ la fiecare jumătate de secundă.

Caută fraze seed BIP39 de 12 sau 24 de cuvinte, chei Bitcoin WIF, chei Ethereum și adrese de criptomonede.

Dacă găsește o frază seed sau o cheie privată, Microsoft a declarat că programul malware o poate salva local și o poate exfiltra prin Tor. Dacă vede o adresă de criptomonedă copiată, poate înlocui acea valoare cu o adresă controlată de atacator.

Pentru mai multe formate de adrese, Microsoft a declarat că programul malware încearcă să facă înlocuirea să pară suficient de similară pentru a scăpa de verificările superficiale, cum ar fi potrivirea primelor caractere ale unor adrese Bitcoin, Tron sau Monero, sau modificarea doar a ultimului caracter în unele adrese Bitcoin în stil Bech32.

Microsoft a tratat înlocuirea adreselor din clipboard ca o problemă de furt de portofele de ani de zile. Într-un raport din 2022 privind cryware și portofelele hot, compania a descris tehnicile de clipping și switching ca metode care interceptează datele portofelului înainte ca o tranzacție să fie finalizată.

Raportul CryptoBandits.A arată acel tipar legat de răspândirea prin suporturi amovibile și traficul de comenzi bazat pe Tor.

Îndrumările oficiale de suport pentru portofele accentuează aspectul custodie. Documentația MetaMask tratează frazele seed și cheile private ca secrete de control al portofelului și le spune separat utilizatorilor să verifice adresele destinatarilor înainte de a confirma un transfer.

CryptoBandits.A vizează ambele părți ale acelui flux de lucru: secretul care controlează portofelul și adresa care primește fondurile.

Portofelele hardware lasă riscul endpoint în fluxul de lucru

Aceasta este un avertisment specific pentru endpoint privind dispozitivul din jurul portofelului. Menținerea cheilor private izolate rămâne una dintre cele mai puternice apărări împotriva multor atacuri comune asupra portofelelor.

O presupunere greșită este că protecția hardware acoperă fiecare pas dintr-o tranzacție. Portofelele hardware pot proteja cheile de semnare, dar nu pot face clipboard-ul unui computer compromis să fie de încredere. Dacă un utilizator copiază o adresă de depozit de pe un exchange, o adresă de plată sau o adresă de transfer de trezorerie pe o mașină infectată, programul malware poate modifica valoarea înainte ca utilizatorul să o lipească.

Dacă utilizatorul verifică doar câteva caractere familiare, o adresă de înlocuire concepută să pară similară poate trece totuși o verificare grăbită.

Frazele seed creează un mod de eșec mai grav. O frază de recuperare introdusă sau copiată printr-o mașină Windows compromisă devine un risc de compromitere la distanță.

Microsoft a declarat că programul malware poate identifica fraze în stil BIP39 și le poate exfiltra către serverul de comandă și control. Odată ce acel tip de secret este expus, riscul se extinde dincolo de un singur transfer încercat.

Pentru persoane fizice, igiena portofelului este parțial igienă a dispozitivului. Pentru fondurile gestionate de echipe, procedurile de custodie trebuie să trateze comportamentul endpoint-ului ca parte din procesul de aprobare a tranzacțiilor.

O mașină utilizată pentru inspectarea soldurilor, pregătirea transferurilor, bridging-ul activelor sau mutarea fondurilor de pe un exchange ar trebui să aibă un profil de risc diferit față de o stație de lucru care deschide și suporturi amovibile necunoscute.

Standardul util este separarea. Un dispozitiv care gestionează activitatea cu portofele ar trebui să aibă mai puține motive să ruleze scripturi, să deschidă comenzi rapide de pe unitățile USB sau să copieze material de recuperare prin clipboard.

Când un flux de lucru depinde de copiere și lipire, destinația afișată pe dispozitivul de semnare sau pe ecranul de încredere are mai multă greutate decât adresa afișată într-un browser sau fereastră de chat.

Dacă se suspectează că o stație de lucru a fost expusă, răspunsul se schimbă de asemenea. Expunerea poate include mai mult decât o singură adresă greșită într-o singură tranzacție în așteptare.

Poate include material de recuperare, chei private, capturi de ecran și execuție de comenzi pe aceeași mașină. Aceasta împinge remedierea spre izolarea endpoint-ului, rotirea materialului de portofele expus și revizuirea oricărui transfer pregătit pe acel dispozitiv.

Detectarea depinde de semnalele comportamentale

Îndrumările de atenuare ale Microsoft se concentrează pe comportament. Compania recomandă dezactivarea AutoRun și AutoPlay pentru suporturile amovibile, blocarea execuției .lnk de pe unitățile amovibile prin Group Policy acolo unde este posibil, restricționarea utilizării inutile a gazdelor de scripturi precum wscript.exe și cscript.exe, și revizuirea regulilor de Reducere a Suprafeței de Atac pentru scripturi ofuscate și lanțuri de procese copil suspecte.

Pentru echipele de securitate, cele mai puternice semnale sunt comportamentale. Microsoft a declarat că apărătorii ar trebui să investigheze cazurile în care motoarele de scripturi lansează instrumente precum curl, cmd.exe, PowerShell sau executabile neașteptate.

A semnalat, de asemenea, activitatea proxy SOCKS5 local pe localhost:9050, comportamentul legat de clipboard și activitatea de captură de ecran PowerShell pe dispozitivele care gestionează fluxuri de lucru financiare sensibile.

Acele semnale se aliniază cu mai multe tehnici ATT&CK standard, inclusiv colectarea datelor din clipboard, comandă și control bazat pe proxy și persistența sarcinilor programate.

Microsoft Defender listează, de asemenea, capacitatea de detectare pentru CryptoBandits, inclusiv Trojan:Win32/CryptoBandits.A și detectările JavaScript aferente, împreună cu acoperirea EDR pentru procesele JavaScript suspecte, exfiltrarea bazată pe curl și activitatea Task Scheduler.

Raportul Microsoft nu divulgă numărul victimelor, totalurile confirmate ale furturilor, distribuția geografică și atribuirea unui actor numit. Aceasta limitează orice afirmație despre amploarea prejudiciului financiar.

Lecția de custodie se menține pe baza comportamentului observat: un flux de lucru al portofelului poate fi compromis înainte ca o tranzacție să ajungă pe lanț.

Concluzia imediată este că utilizatorii și operatorii de criptomonede ar trebui să trateze endpoint-urile ca parte din stiva portofelului. Controalele USB, restricțiile de scripturi, verificarea adreselor și disciplina clipboard-ului fac parte din securitatea auto-custodiei.

Ele reprezintă calea pe care o tranzacție o parcurge înainte de a ajunge pe lanț.

Articolul Programul malware CryptoBandits permite infractorilor să folosească unitatea USB pentru a accesa portofelele cripto – Microsoft avertizează a apărut prima dată pe CryptoSlate.