Kaip išmestas USB raktas tapo tyliu kriptovaliutų vagimi

Praėjusį antradienį vienos nedidelės finansinių technologijų įmonės vyresnysis programuotojas pastebėjo anomaliją savo aparatinės piniginės transakcijose. Jis bandė nusiųsti 0,5 bitkoino į šaltojo saugojimo adresą, kuriuo naudojosi dešimtis kartų. Adresą jis nukopijavo iš savo slaptažodžių tvarkyklės ir įklijavo į pervedimo lauką. Transakcija buvo įvykdyta. Tačiau lėšos niekada nepasiekė numatytos paskirties vietos. Per kelias minutes lėšų likutis jo pradinėje piniginėje tapo lygus nuliui. Atlikus darbo vietos teismo ekspertizę paaiškėjo, kad įklijuotas adresas nebuvo tas, kurį jis nukopijavo. Tai buvo beveik identiška simbolių eilutė, valdoma užpuoliko. Šio pažeidimo patekimo taškas buvo reklaminis USB raktas, kurį jis rado konferencijos dovanų krepšelyje prieš tris mėnesius.

„Microsoft“ tyrėjai neseniai identifikavo šią specifinę grėsmę kaip naują, savaime plintantį kirminą. Jie jį vadina „Crypto Clipper“. Ši kenkėjiška programa skiriasi nuo išpūstų, sudėtingų išpirkos reikalaujančių programų paketų, kurie dominuoja dabartinėse naujienų antraštėse. Tai lengvas, scenarijais pagrįstas „backdoor“ tipo įrankis, kurio prioritetas yra slaptumas ir greitas monetizavimas. Atakos grandinė prasideda, kai vartotojas prie „Windows“ įrenginio prijungia užkrėstą USB raktą. Raktas turi kenkėjiškų .lnk failų, kurie maskuojasi kaip teisėti dokumentai ar aplankai. Kai vartotojas sąveikauja su šiais failais, prasideda infekcijos procesas be tradicinio diegimo raginimo.

Tylaus replikavimo ir pradinio užkrėtimo mechanizmas

„Crypto Clipper“ plitimas yra sugrįžimas į ankstyvųjų interneto kirminų erą. Jis remiasi fiziniu techninės įrangos judėjimu tarp sistemų. Kai kenkėjiška programa randa naują šeimininką, ji nuskenuoja visus prijungtus USB atminties įrenginius. Tuose įrenginiuose ji sukuria .lnk failų seriją. Šiuose sparčiųjų nuorodų failuose saugomas vykdomasis kodas, nurodantis į kenkėjiškos programos naudingąjį krovinį. Kad padidintų sėkmingo paspaudimo tikimybę, kenkėjiška programa naudoja pavadinimus, atitinkančius esamus failus diske. Tai skaitmeninis Trojos arklys, išnaudojantis prigimtinį pasitikėjimą, kurį vartotojai puoselėja savo pačių techninei įrangai.

Rizikos požiūriu šis kirminas yra veiksmingas, nes jis visiškai apeina tinklo perimetrą. Dauguma šiuolaikinių saugumo sistemų sutelkia dėmesį į gaunamą interneto srautą ir el. pašto priedus. Kenkėjiškas scenarijus, atkeliaujantis per vietinę aparatinę sąsają, dažnai išvengia pradinių patikros sluoksnių. Kai .lnk failas paleidžiamas, jis įvykdo „PowerShell“ komandą. Ši komanda patikrina, ar įrenginys jau užkrėstas. Jei sistema švari, scenarijus susisiekia su išoriniu serveriu, kad atsisiųstų pagrindinius „clipper“ komponentus.

Kodėl tradicinės ugniasienės nepastebi „Tor“ tinklu nukreipiamo srauto

Ryškiausia „Crypto Clipper“ savybė yra „Tor“ tinklo naudojimas valdymui ir kontrolei. Dauguma kenkėjiškų programų šeimų naudoja užkoduotus IP adresus arba domenų vardus, kuriuos saugumo analitikai gali lengvai užblokuoti. Ši programa taiko atsparesnį metodą. Užkrėstame įrenginyje ji įdiegia nešiojamąjį „Tor“ klientą. Tada ji nukreipia visą išeinančią komunikaciją per vietinį SOCKS5 tarpinį serverį (proxy), paprastai per 9050 prievadą. Taip sukuriamas anoniminis tunelis tarp pažeisto įrenginio ir užpuoliko.

Ši konfigūracija yra tiesioginis iššūkis standartinei registravimo praktikai. Įprastoje įmonės aplinkoje ugniasienė registruoja kiekvieno išeinančio paketo paskirties IP adresą. Kai įrenginys naudoja „Tor“, ugniasienė mato tik ryšį su „Tor“ įėjimo mazgu. Šie mazgai dažnai yra teisėti serveriai. Tikroji pavogtų duomenų paskirties vieta lieka paslėpta po keliais šifravimo sluoksniais ir pertekliniais mazgais. Įvertinti atakos paviršių šiame kontekste yra sudėtinga, nes kenkėjiškas srautas susilieja su įprasta šifruota interneto veikla. Kenkėjiška programa naudoja SOCKS5 protokolą duomenims persiųsti į galutinę paskirties vietą, užtikrindama, kad užpuoliko serverio adresas niekada nepasirodytų vietinio tinklo žurnaluose.

Iškarpinės užgrobimo anatomija

Pagrindinė kenkėjiškos programos funkcija yra stebėti „Windows“ iškarpinę (clipboard). Ji ieško specifinių modelių, atitinkančių kriptovaliutų piniginių adresus. „Bitcoin“, „Ethereum“ ir kiti pagrindiniai aktyvai naudoja standartizuotus alfanumerinius formatus. „Crypto Clipper“ naudoja reguliariąsias išraiškas, kad identifikuotų šias eilutes realiuoju laiku. Kai vartotojas nukopijuoja adresą, kenkėjiška programa perima iškarpinės turinį. Ji pakeičia vartotojo adresą adresu, priklausančiu užpuolikui.

Tai paprasta, bet triuškinanti duomenų vientisumo pažeidimo forma. Dauguma vartotojų patikrina adresą peržiūrėdami pirmuosius ir paskutinius keturis simbolius. Sudėtingi šios programos variantai sugeneruoja tūkstančius adresų, kad rastų tokį, kuris kuo labiau atitiktų aukos numatytą tikslą. Be paprasto adreso pakeitimo, programa taip pat stebi pradinės frazės (seed phrases). Tai 12 arba 24 žodžių sekos, naudojamos kripto piniginei atkurti. Jei programa iškarpinėje aptinka pradinę frazę, ji nedelsdama eksfiltruoja tekstą. Tai suteikia užpuolikui visišką aukos viso skaitmeninio turto portfelio kontrolę.

Vizualinis patvirtinimas per slaptą ekrano fiksavimą

„Crypto Clipper“ neapsiriboja tekstine vagyste. „Microsoft“ nustatė, kad programa padaro penkias ekrano nuotraukas per 10 sekundžių laikotarpį kaskart, kai iškarpinėje aptinka jautrius duomenis. Šie vaizdai suteikia užpuolikui kontekstą. Ekrano nuotrauka gali atskleisti naudojamą piniginės programinę įrangą, sąskaitos likutį arba papildomus saugumo klausimus ekrane. Programa naudoja vietines „PowerShell“ komandas ekranui užfiksuoti, o tai padeda jai išvengti aptikimo bazinėmis antivirusinėmis programomis, kurios ieško tik trečiųjų šalių fiksavimo įrankių.

Perėjimas nuo vagies prie aktyvaus „backdoor“

Nors pagrindinis tikslas yra finansinė vagystė, „Microsoft“ klasifikuoja šią grėsmę kaip lengvą „backdoor“. „Tor“ tarpinio serverio buvimas ir galimybė vykdyti nuotolinį kodą reiškia, kad užpuolikas gali padaryti daugiau nei tik sukeisti piniginės adresus. Jie gali bet kada nusiųsti naujus scenarijus į užkrėstą įrenginį. Tai leidžia kenkėjiškai programai evoliucionuoti priklausomai nuo aplinkos, kurioje ji yra. Įmonės aplinkoje užpuolikas gali pereiti nuo kriptovaliutų vagystės prie vidinių prisijungimo duomenų rinkimo arba išpirkos reikalaujančių programų diegimo.

Ši vykdymo laiko užduočių skyrimo galimybė daro programą nuolatine grėsme. Net jei vartotojas išvalo iškarpinę arba perkelia savo lėšas, „backdoor“ lieka aktyvus. Užpuolikas gali laukti mėnesius prieš įdiegdamas labiau invazinį krovinį. Kalbant proaktyviai, nuolatinio, anoniminio ryšio su vidine darbo vieta egzistavimas yra blogiausias scenarijus bet kuriai saugumo komandai. Tai vieną užkrėstą USB raktą paverčia nuolatine skyle laivo korpuse.

Kompromituotos sistemos techniniai indikatoriai

„Microsoft Defender for Endpoint“ turi specifinius šios grėsmės parašus. Jis žymi įtartinus „JavaScript“ procesus ir duomenų eksfiltracijos bandymus, kuriuose naudojamas „Curl“ įrankis. Tačiau senesnėms sistemoms arba toms, kurios neturi pažangių EDR įrankių, dažnai būtina rankinė paieška. Stipriausias „Crypto Clipper“ infekcijos indikatorius yra tarpinės paslaugos buvimas, besiklausantis „localhost:9050“. Tai numatytasis „Tor SOCKS5“ tarpinio serverio prievadas.

Administratoriai taip pat turėtų ieškoti scenarijų interpretatorių, tokių kaip „PowerShell“ ar „CMD“, kuriančių neįprastus antrinius procesus. Kenkėjiška programa dažnai juos naudoja ekrano fiksavimo ir iškarpinės stebėjimo rutinoms vykdyti. Bet kokie ekrano fiksavimo komandų įrodymai „PowerShell“ istorijoje turėtų būti pavojaus signalas. Teismo ekspertizės požiūriu, naujų .lnk failų atsiradimas USB rakte su pavadinimais, imituojančiais esamus dokumentus, yra galutinis kirmino buvimo ženklas. „Microsoft Defender Antivirus“ pagrindinį krovinį aptinka kaip „Trojan: Win32/CryptoBandits.A“.

Praktiniai žingsniai aparatinės įrangos sąsajoms sustiprinti

Tinklo apsauga nuo savaime plintančio kirmino reikalauja techninių kontrolės priemonių ir vartotojų švietimo derinio. Be pleistrų diegimo, veiksmingiausia gynyba yra griežta politika dėl išimamų laikmenų. Daugelis organizacijų dabar pagal numatytuosius nustatymus išjungia USB prievadus arba naudoja programinę įrangą, kad įtrauktų į baltąjį sąrašą tik specifinius, užšifruotus raktus. Tai skaitmeninis VIP klubo apsauginio atitikmuo prie kiekvienų vidinių durų. Jei įrenginio nėra sąraše, jis neįleidžiamas.

Vartotojai taip pat privalo taikyti nulinio pasitikėjimo (zero-trust) požiūrį į savo iškarpines. Niekada nemanykite, kad eilutė, kurią įklijuojate, yra ta pati, kurią nukopijavote. Prieš patvirtindami transakciją, visada patikrinkite visą piniginės adresą, o ne tik kelis pirmuosius simbolius. Didelės vertės pervedimams būtinas patikrinimas ne per pagrindinį kanalą (out-of-band). Tai apima adreso tikrinimą atskirame įrenginyje, kuris nėra prijungtas prie to paties tinklo. Šis paprastas žingsnis gali užkirsti kelią didžiajai daliai vagysčių naudojant „clipper“.

Galiausiai organizacijos turėtų audituoti savo sistemas dėl neautorizuotų tarpinių serverių įrankių buvimo. „Tor“ turi teisėtų naudojimo būdų, tačiau jo buvimas standartinėje biuro darbo vietoje beveik visada yra šešėlinio IT arba saugumo pažeidimo ženklas. Tinklo srauto stebėjimas į žinomus „Tor“ įėjimo mazgus gali padėti identifikuoti užkrėstus įrenginius dar prieš užpuolikui eksfiltruojant reikšmingą kiekį duomenų. Šis proaktyvus stebėjimas yra skirtumas tarp nedidelio incidento ir visiško skaitmeninio turto praradimo.

Šaltiniai

• Microsoft Threat Intelligence Report (June 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Atsakomybės apribojimas: Šis straipsnis skirtas tik informaciniams ir edukaciniams tikslams. Jis nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugos. Prieš atlikdami pakeitimus savo įmonės saugumo būsenoje, visada pasitarkite su sertifikuotu saugumo specialistu.