Cyfrowe piractwo nowej ery! Ten sprytny robak wyczyści Twój portfel kryptowalutowy w ułamku sekundy

Sektor cyberbezpieczeństwa bije na alarm przed niezwykle niebezpieczną i podstępną kampanią złośliwego oprogramowania, która potrafi rozprzestrzeniać się bez dostępu do internetu. Nowo odkryty robak systemowy atakuje użytkowników systemu Windows za pośrednictwem zainfekowanych pamięci USB, a jego głównym celem jest bezczelne okradanie portfeli kryptowalutowych. Wykorzystując zaawansowane techniki kamuflażu oraz sieć Tor, malware potrafi przez długi czas pozostać całkowicie niewykrywalny dla tradycyjnych programów antywirusowych.

Anatomia ataku przez USB. Jak niewinna ikona infekuje system Windows?

Scenariusz infekcji powtarza schemat znany z klasycznych cyberzagrożeń, jednak został doprowadzony do perfekcji pod kątem socjotechniki. Wszystko zaczyna się w momencie, gdy użytkownik podłącza do komputera z pozoru bezpieczny dysk flash USB i klika w plik, który wygląda jak zwykły dokument czy folder. W rzeczywistości jest to zmanipulowany plik skrótu systemu Windows, czyli tzw. plik LNK. Zamiast otworzyć oczekiwaną zawartość, system uruchamia ukryty skrót, który natychmiast inicjuje wykonywanie złośliwego kodu w tle.

Jak donosi branżowy serwis Bleeping Computer, ta groźna kampania hakerska trwa aktywnie od lutego, a pierwsze anomalie zostały oficjalnie zidentyfikowane i przeanalizowane przez ekspertów z firmy Microsoft. Po uruchomieniu skrótu LNK, malware nawiązuje szyfrowane połączenie z siecią Tor, skąd bez wiedzy użytkownika pobiera kolejne, znacznie bardziej destrukcyjne komponenty infekujące system operacyjny na stałe.

Samopowielający się mechanizm robaka i perfidny kamuflaż plików

Najbardziej twardym orzechem do zgryzienia dla ekspertów ds. bezpieczeństwa jest unikalna strategia replikacji szkodnika. Po zagnieżdżeniu się w systemie, robak natychmiast skanuje dyski twarde w poszukiwaniu dokumentów użytkownika. Następnie ukrywa oryginalne pliki, zmieniając ich atrybuty systemowe, a w ich miejsce podstawia zainfekowane skróty LNK o identycznych nazwach i ikonach. Oznacza to, że kolejni użytkownicy komputera mogą uruchomić złośliwe oprogramowanie, nawet jeśli nigdy nie mieli bezpośredniego kontaktu ze źródłowym pendrive’em.

Jednocześnie program monitoruje pracę systemu operacyjnego i czeka na podłączenie jakiegokolwiek nowego nośnika zewnętrznego. Gdy tylko w porcie USB pojawi się czysta pamięć przenośna, robak błyskawicznie kopiuje na nią swoje repliki. Ten klasyczny, agresywny mechanizm replikacji sprawia, że zagrożenie rozprzestrzenia się lawinowo w środowiskach biurowych i domowych.

Podmiana adresów w ułamku sekundy. Jak działa Clipper?

Głównym modułem zarobkowym cyberprzestępców jest tzw. Clipper – wyspecjalizowany program, który bez przerwy monitoruje zawartość systemowego schowka (miejsca, do którego trafiają dane po wciśnięciu kombinacji Ctrl+C). Szkodnik analizuje kopiowany tekst kilkanaście razy na sekundę, poszukując bardzo konkretnych struktur danych związanych z rynkiem kryptowalut.

Malware poluje na 12- i 24-wyrazowe frazy odzyskiwania, prywatne klucze autoryzacyjne oraz unikalne adresy portfeli dla najpopularniejszych sieci, takich jak Bitcoin, Ethereum, Tron czy Monero. W momencie wykrycia, że użytkownik skopiował adres portfela docelowego, Clipper błyskawicznie podmienia go w pamięci podręcznej na adres należący do złodziei. Całość realizowana jest w sposób perfidny: generowane przez hakerów adresy są wizualnie łudząco podobne do oryginalnych na początku i końcu ciągu znaków, przez co ofiara, dokonując szybkiej weryfikacji wzrokowej przed zatwierdzeniem przelewu, zazwyczaj nie zauważa oszustwa i dobrowolnie wysyła swoje cyfrowe oszczędności prosto w ręce przestępców.

Analiza behawioralna i szpiegostwo. Jak wykryć niewidzialne zagrożenie?

Microsoft zwraca uwagę na fakt, że opisywane malware niemal całkowicie wymyka się tradycyjnemu skanowaniu sygnaturowemu, ponieważ nie polega na znanych plikach wykonywalnych EXE. Zamiast tego infekcję można wykryć głównie poprzez zaawansowaną analizę behawioralną, czyli baczne obserwowanie nietypowego zachowania systemu.

Do najważniejszych anomalii i sygnałów ostrzegawczych należą:

• Niespodziewane, ukryte uruchamianie procesów systemowych takich jak wscript.exe lub cscript.exe.
• Podejrzana, wzmożona aktywność konsoli PowerShell, wiersza poleceń (cmd) lub systemowego narzędzia curl.
• Wykrycie nieautoryzowanych połączeń sieciowych realizowanych przez lokalny port sieci Tor (localhost:9050).
• Tworzenie nietypowych, nielogicznych łańcuchów procesów w menedżerze zadań.

Oprócz bezczelnego okradania schowka, złośliwe oprogramowanie posiada funkcje zaawansowanego trojana szpiegującego (Spyware). W regularnych odstępach czasu wykonuje potajemne zrzuty ekranu i przesyła je na serwery kontrolowane przez napastników. Co więcej, architektura skryptów JavaScript wykorzystywanych w tej kampanii pozwala hakerom na pełne, zdalne sterowanie komputerem ofiary oraz doinstalowywanie dowolnego, dodatkowego oprogramowania ransomware czy keyloggerów.

Podsumowanie: Jak skutecznie bronić się przed robakiem USB?

Ta nowoczesna kampania malware udowadnia, że fizyczne nośniki danych wciąż stanowią potężny wektor ataku w rękach cyberprzestępców. Aby nie stać się ofiarą sprytnego Clippera, kluczowe jest wyrobienie w sobie nawyku bezwzględnego, dokładnego sprawdzania każdego znaku w adresie portfela przed realizacją transakcji kryptowalutowej. Ponadto warto wyłączyć w systemie Windows automatyczne uruchamianie dysków zewnętrznych oraz regularnie weryfikować, czy pliki na naszych pendrive’ach nie stały się nagle „skrótami” z rozszerzeniem LNK.