Πώς μια πεταμένη μονάδα USB μετατράπηκε σε έναν αθόρυβο κλέφτη κρυπτονομισμάτων

Ένας ανώτερος προγραμματιστής σε μια εξειδικευμένη εταιρεία fintech παρατήρησε μια ανωμαλία στις συναλλαγές του πορτοφολιού υλικού του την περασμένη Τρίτη. Επιχείρησε να στείλει 0,5 Bitcoin σε μια διεύθυνση ψυχρής αποθήκευσης που είχε χρησιμοποιήσει δεκάδες φορές. Αντέγραψε τη διεύθυνση από τον διαχειριστή κωδικών πρόσβασης και την επικόλλησε στο πεδίο μεταφοράς. Η συναλλαγή ολοκληρώθηκε. Ωστόσο, τα κεφάλαια δεν έφτασαν ποτέ στον επιθυμητό προορισμό τους. Μέσα σε λίγα λεπτά, το υπόλοιπο στο αρχικό του πορτοφόλι μηδενίστηκε. Μια εγκληματολογική έρευνα στον σταθμό εργασίας αποκάλυψε ότι η επικολλημένη διεύθυνση δεν ήταν αυτή που αντέγραψε. Ήταν μια σχεδόν πανομοιότυπη συμβολοσειρά που ελεγχόταν από έναν επιτιθέμενο. Το σημείο εισόδου για αυτήν την παραβίαση ήταν μια προωθητική μονάδα USB που βρήκε σε μια τσάντα δώρων συνεδρίου τρεις μήνες πριν.

Ερευνητές της Microsoft αναγνώρισαν πρόσφατα αυτή τη συγκεκριμένη απειλή ως ένα νέο, αυτοαναπαραγόμενο σκουλήκι (worm). Το ονομάζουν Crypto Clipper. Αυτό το κακόβουλο λογισμικό αποτελεί απόκλιση από τα ογκώδη, περίπλοκα πακέτα ransomware που κυριαρχούν στους τρέχοντες τίτλους ειδήσεων. Πρόκειται για μια ελαφριά κερκόπορτα (backdoor) βασισμένη σε σενάρια εντολών (scripts) που δίνει προτεραιότητα στην απόκρυψη και την άμεση δημιουργία εσόδων. Η αλυσίδα επίθεσης ξεκινά όταν ένας χρήστης συνδέει μια μολυσμένη μονάδα USB σε ένα μηχάνημα Windows. Η μονάδα περιέχει κακόβουλα αρχεία .lnk που μεταμφιέζονται σε νόμιμα έγγραφα ή φακέλους. Όταν ένας χρήστης αλληλεπιδρά με αυτά τα αρχεία, η διαδικασία μόλυνσης ξεκινά χωρίς την παραδοσιακή προτροπή εγκατάστασης.

Ο μηχανισμός της αθόρυβης αναπαραγωγής και της αρχικής μόλυνσης

Η εξάπλωση του Crypto Clipper είναι μια επιστροφή στην εποχή των πρώτων σκουληκιών του διαδικτύου. Βασίζεται στη φυσική μετακίνηση υλικού μεταξύ συστημάτων. Όταν το κακόβουλο λογισμικό βρει έναν νέο ξενιστή, σαρώνει για τυχόν συνδεδεμένες συσκευές αποθήκευσης USB. Δημιουργεί μια σειρά αρχείων .lnk σε αυτές τις μονάδες. Αυτά τα αρχεία συντόμευσης αποθηκεύουν εκτελέσιμο κώδικα που δείχνει στο ωφέλιμο φορτίο του κακόβουλου λογισμικού. Για να αυξήσει τις πιθανότητες ενός επιτυχημένου κλικ, το κακόβουλο λογισμικό χρησιμοποιεί ονόματα που ταιριάζουν με τα υπάρχοντα αρχεία στη μονάδα δίσκου. Πρόκειται για έναν ψηφιακό Δούρειο Ίππο που εκμεταλλεύεται την εγγενή εμπιστοσύνη που δείχνουν οι χρήστες στο δικό τους υλικό.

Από την άποψη του κινδύνου, αυτό το σκουλήκι είναι αποτελεσματικό επειδή παρακάμπτει πλήρως την περίμετρο του δικτύου. Οι περισσότερες σύγχρονες στοίβες ασφαλείας εστιάζουν στην εισερχόμενη κίνηση ιστού και στα συνημμένα email. Ένα κακόβουλο σενάριο που φτάνει μέσω μιας τοπικής διεπαφής υλικού συχνά αποφεύγει τα αρχικά επίπεδα επιθεώρησης. Μόλις εκτελεστεί το αρχείο .lnk, εκτελεί μια εντολή PowerShell. Αυτή η εντολή ελέγχει εάν το μηχάνημα είναι ήδη μολυσμένο. Εάν το σύστημα είναι καθαρό, το σενάριο επικοινωνεί με έναν εξωτερικό διακομιστή για να κατεβάσει τα βασικά στοιχεία του clipper.

Γιατί τα παραδοσιακά τείχη προστασίας χάνουν την κίνηση που δρομολογείται μέσω Tor

Το πιο χαρακτηριστικό γνώρισμα του Crypto Clipper είναι η χρήση του δικτύου Tor για εντολές και έλεγχο (C2). Οι περισσότερες οικογένειες κακόβουλου λογισμικού χρησιμοποιούν κωδικοποιημένες διευθύνσεις IP ή ονόματα τομέα που οι αναλυτές ασφαλείας μπορούν εύκολα να αποκλείσουν. Αυτό το κακόβουλο λογισμικό υιοθετεί μια πιο ανθεκτική προσέγγιση. Αναπτύσσει έναν φορητό πελάτη Tor στον μολυσμένο ξενιστή. Στη συνέχεια, δρομολογεί όλη την εξερχόμενη επικοινωνία μέσω ενός τοπικού διακομιστή μεσολάβησης SOCKS5, συνήθως στη θύρα 9050. Αυτό δημιουργεί μια ανώνυμη σήραγγα μεταξύ της παραβιασμένης συσκευής και του επιτιθέμενου.

Αυτή η ρύθμιση αποτελεί άμεση πρόκληση για τις τυπικές πρακτικές καταγραφής. Σε ένα τυπικό εταιρικό περιβάλλον, ένα τείχος προστασίας καταγράφει την IP προορισμού κάθε εξερχόμενου πακέτου. Όταν μια συσκευή χρησιμοποιεί Tor, το τείχος προστασίας βλέπει μόνο μια σύνδεση με έναν κόμβο εισόδου Tor. Αυτοί οι κόμβοι είναι συχνά νόμιμοι διακομιστές. Ο πραγματικός προορισμός των κλεμμένων δεδομένων παραμένει κρυμμένος πίσω από πολλαπλά επίπεδα κρυπτογράφησης και πλεονάζοντες κόμβους. Η αξιολόγηση της επιφάνειας επίθεσης σε αυτό το πλαίσιο είναι δύσκολη, επειδή η κακόβουλη κίνηση αναμιγνύεται με τη συνηθισμένη κρυπτογραφημένη δραστηριότητα ιστού. Το κακόβουλο λογισμικό χρησιμοποιεί το πρωτόκολλο SOCKS5 για να προωθήσει δεδομένα στον τελικό του προορισμό, διασφαλίζοντας ότι η διεύθυνση διακομιστή του επιτιθέμενου δεν εμφανίζεται ποτέ στα τοπικά αρχεία καταγραφής δικτύου.

Η ανατομία μιας υποκλοπής προχείρου

Η κύρια λειτουργία του κακόβουλου λογισμικού είναι η παρακολούθηση του προχείρου (clipboard) των Windows. Αναζητά συγκεκριμένα μοτίβα που ταιριάζουν με διευθύνσεις πορτοφολιών κρυπτονομισμάτων. Το Bitcoin, το Ethereum και άλλα σημαντικά περιουσιακά στοιχεία χρησιμοποιούν τυποποιημένες αλφαριθμητικές μορφές. Το Crypto Clipper χρησιμοποιεί κανονικές εκφράσεις (regular expressions) για να αναγνωρίζει αυτές τις συμβολοσειρές σε πραγματικό χρόνο. Όταν ένας χρήστης αντιγράφει μια διεύθυνση, το κακόβουλο λογισμικό παρεμβάλλεται στο περιεχόμενο του προχείρου. Αντικαθιστά τη διεύθυνση του χρήστη με μια διεύθυνση που ανήκει στον επιτιθέμενο.

Πρόκειται για μια απλή αλλά καταστροφική μορφή παραβίασης της ακεραιότητας των δεδομένων. Οι περισσότεροι χρήστες επαληθεύουν μια διεύθυνση ελέγχοντας τους πρώτους και τους τελευταίους τέσσερις χαρακτήρες. Εξελιγμένες παραλλαγές αυτού του κακόβουλου λογισμικού δημιουργούν χιλιάδες διευθύνσεις για να βρουν μία που να ταιριάζει με τον επιθυμητό στόχο του θύματος όσο το δυνατόν περισσότερο. Πέρα από την απλή αντικατάσταση διεύθυνσης, το κακόβουλο λογισμικό παρακολουθεί επίσης για φράσεις σπόρους (seed phrases). Αυτές είναι οι ακολουθίες 12 ή 24 λέξεων που χρησιμοποιούνται για την ανάκτηση ενός πορτοφολιού κρυπτονομισμάτων. Εάν το κακόβουλο λογισμικό εντοπίσει μια φράση σπόρο στο πρόχειρο, εξάγει το κείμενο αμέσως. Αυτό δίνει στον επιτιθέμενο τον πλήρη έλεγχο ολόκληρου του ψηφιακού χαρτοφυλακίου του θύματος.

Οπτική επιβεβαίωση μέσω κρυφής λήψης οθόνης

Το Crypto Clipper δεν σταματά στην κλοπή βασισμένη σε κείμενο. Η Microsoft ανακάλυψε ότι το κακόβουλο λογισμικό λαμβάνει πέντε στιγμιότυπα οθόνης σε μια περίοδο 10 δευτερολέπτων κάθε φορά που εντοπίζει ευαίσθητα δεδομένα στο πρόχειρο. Αυτές οι εικόνες παρέχουν στον επιτιθέμενο το πλαίσιο. Ένα στιγμιότυπο οθόνης μπορεί να αποκαλύψει το συγκεκριμένο λογισμικό πορτοφολιού που χρησιμοποιείται, το υπόλοιπο του λογαριασμού ή πρόσθετες ερωτήσεις ασφαλείας στην οθόνη. Το κακόβουλο λογισμικό χρησιμοποιεί εγγενείς εντολές PowerShell για τη λήψη της οθόνης, γεγονός που το βοηθά να αποφύγει τον εντοπισμό από βασικά λογισμικά προστασίας από ιούς που αναζητούν μόνο εργαλεία λήψης τρίτων.

Η μετάβαση από κλέφτη σε ενεργή κερκόπορτα

Ενώ ο πρωταρχικός στόχος είναι η οικονομική κλοπή, η Microsoft ταξινομεί αυτήν την απειλή ως μια ελαφριά κερκόπορτα (backdoor). Η παρουσία του διακομιστή μεσολάβησης Tor και η δυνατότητα εκτέλεσης απομακρυσμένου κώδικα σημαίνουν ότι ο επιτιθέμενος μπορεί να κάνει περισσότερα από την απλή εναλλαγή διευθύνσεων πορτοφολιού. Μπορούν να προωθήσουν νέα σενάρια εντολών στο μολυσμένο μηχάνημα ανά πάσα στιγμή. Αυτό επιτρέπει στο κακόβουλο λογισμικό να εξελίσσεται με βάση το περιβάλλον στο οποίο βρίσκεται. Σε ένα εταιρικό περιβάλλον, ένας επιτιθέμενος θα μπορούσε να μεταβεί από την κλοπή κρυπτονομισμάτων στη συλλογή εσωτερικών διαπιστευτηρίων ή στην ανάπτυξη ransomware.

Αυτή η δυνατότητα ανάθεσης εργασιών κατά το χρόνο εκτέλεσης καθιστά το κακόβουλο λογισμικό μια επίμονη απειλή. Ακόμα κι αν ένας χρήστης καθαρίσει το πρόχειρό του ή μετακινήσει τα κεφάλαιά του, η κερκόπορτα παραμένει ενεργή. Ο επιτιθέμενος μπορεί να περιμένει μήνες πριν αναπτύξει ένα πιο επεμβατικό ωφέλιμο φορτίο. Μιλώντας προληπτικά, η ύπαρξη μιας επίμονης, ανώνυμης σύνδεσης με έναν εσωτερικό σταθμό εργασίας είναι το χειρότερο σενάριο για οποιαδήποτε ομάδα ασφαλείας. Μετατρέπει μια μεμονωμένη μολυσμένη μονάδα USB σε μια μόνιμη τρύπα στο κύτος του πλοίου.

Τεχνικοί δείκτες ενός παραβιασμένου συστήματος

Το Microsoft Defender for Endpoint διαθέτει συγκεκριμένες υπογραφές για αυτήν την απειλή. Επισημαίνει ύποπτες διεργασίες JavaScript και απόπειρες εξαγωγής δεδομένων που χρησιμοποιούν το εργαλείο Curl. Ωστόσο, η χειροκίνητη αναζήτηση είναι συχνά απαραίτητη για παλαιότερα συστήματα ή για εκείνα χωρίς προηγμένα εργαλεία EDR. Ο ισχυρότερος δείκτης μιας μόλυνσης από Crypto Clipper είναι η παρουσία μιας υπηρεσίας διακομιστή μεσολάβησης που ακούει στο localhost:9050. Αυτή είναι η προεπιλεγμένη θύρα για τον διακομιστή μεσολάβησης Tor SOCKS5.

Οι διαχειριστές θα πρέπει επίσης να αναζητούν διερμηνείς σεναρίων όπως το PowerShell ή το CMD που δημιουργούν ασυνήθιστες θυγατρικές διεργασίες. Το κακόβουλο λογισμικό τα χρησιμοποιεί συχνά για να εκτελέσει τις ρουτίνες λήψης οθόνης και παρακολούθησης του προχείρου. Οποιαδήποτε ένδειξη εντολών λήψης οθόνης στο ιστορικό του PowerShell θα πρέπει να αποτελεί προειδοποίηση. Από εγκληματολογική άποψη, η εμφάνιση νέων αρχείων .lnk σε μια μονάδα USB με ονόματα που μιμούνται υπάρχοντα έγγραφα είναι ένα οριστικό σημάδι της παρουσίας του σκουληκιού. Το Microsoft Defender Antivirus ανιχνεύει το βασικό ωφέλιμο φορτίο ως Trojan: Win32/CryptoBandits.A.

Πρακτικά βήματα για τη θωράκιση των διεπαφών υλικού σας

Η ασφάλιση ενός δικτύου έναντι ενός αυτοαναπαραγόμενου σκουληκιού απαιτεί έναν συνδυασμό τεχνικών ελέγχων και εκπαίδευσης των χρηστών. Πέρα από τις ενημερώσεις κώδικα, η πιο αποτελεσματική άμυνα είναι μια αυστηρή πολιτική σχετικά με τα αφαιρούμενα μέσα. Πολλοί οργανισμοί απενεργοποιούν πλέον τις θύρες USB από προεπιλογή ή χρησιμοποιούν λογισμικό για να επιτρέπουν μόνο συγκεκριμένες, κρυπτογραφημένες μονάδες δίσκου. Αυτό είναι το ψηφιακό ισοδύναμο ενός πορτιέρη σε κλαμπ VIP σε κάθε εσωτερική πόρτα. Εάν μια συσκευή δεν είναι στη λίστα, δεν μπαίνει.

Οι χρήστες πρέπει επίσης να υιοθετήσουν μια προσέγγιση μηδενικής εμπιστοσύνης (zero-trust) στα πρόχειρά τους. Ποτέ μην υποθέτετε ότι η συμβολοσειρά που επικολλλάτε είναι η ίδια συμβολοσειρά που αντιγράψατε. Επαληθεύετε πάντα ολόκληρη τη διεύθυνση του πορτοφολιού, όχι μόνο τους πρώτους χαρακτήρες, πριν επιβεβαιώσετε μια συναλλαγή. Για μεταφορές υψηλής αξίας, η επαλήθευση εκτός δικτύου (out-of-band) είναι απαραίτητη. Αυτό περιλαμβάνει τον έλεγχο της διεύθυνσης σε μια ξεχωριστή συσκευή που δεν είναι συνδεδεμένη στο ίδιο δίκτυο. Αυτό το απλό βήμα μπορεί να αποτρέψει τη συντριπτική πλειονότητα των κλοπών που βασίζονται σε clipper.

Τέλος, οι οργανισμοί θα πρέπει να ελέγχουν τα συστήματά τους για την παρουσία μη εξουσιοδοτημένων εργαλείων διακομιστή μεσολάβησης. Το Tor έχει νόμιμες χρήσεις, αλλά η παρουσία του σε έναν τυπικό σταθμό εργασίας γραφείου είναι σχεδόν πάντα σημάδι σκιώδους πληροφορικής (shadow IT) ή παραβίασης ασφάλειας. Η παρακολούθηση της κίνησης του δικτύου προς γνωστούς κόμβους εισόδου Tor μπορεί να βοηθήσει στον εντοπισμό μολυσμένων μηχανημάτων πριν ο επιτιθέμενος προλάβει να εξαγάγει σημαντικές ποσότητες δεδομένων. Αυτή η προληπτική παρακολούθηση είναι η διαφορά μεταξύ ενός μικρού περιστατικού και μιας ολικής απώλειας ψηφιακών περιουσιακών στοιχείων.

Πηγές

• Microsoft Threat Intelligence Report (Ιούνιος 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς. Δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά. Πάντα να συμβουλεύεστε έναν πιστοποιημένο επαγγελματία ασφαλείας πριν κάνετε αλλαγές στη στάση ασφαλείας της επιχείρησής σας.