Jak porzucony napęd USB zamienił się w cichego złodzieja kryptowalut

Starszy programista w kameralnej firmie fintech zauważył w zeszły wtorek anomalię w transakcjach swojego portfela sprzętowego. Próbował wysłać 0,5 Bitcoina na adres zimnego portfela, którego używał dziesiątki razy. Skopiował adres z menedżera haseł i wkleił go w pole transferu. Transakcja została zrealizowana. Jednak środki nigdy nie dotarły do zamierzonego celu. W ciągu kilku minut saldo w jego portfelu źródłowym spadło do zera. Dochodzenie informatyki śledczej na stacji roboczej wykazało, że wklejony adres nie był tym, który skopiował. Był to niemal identyczny ciąg znaków kontrolowany przez atakującego. Punktem wejścia dla tego naruszenia był promocyjny pendrive, który znalazł w torbie z upominkami na konferencji trzy miesiące wcześniej.

Badacze Microsoft zidentyfikowali niedawno to konkretne zagrożenie jako nowego, samopowielającego się robaka. Nazwali go Crypto Clipper. To złośliwe oprogramowanie różni się od przeładowanych, złożonych pakietów ransomware, które dominują w obecnych nagłówkach. Jest to lekki backdoor oparty na skryptach, który priorytetowo traktuje ukryte działanie i natychmiastową monetyzację. Łańcuch ataku rozpoczyna się, gdy użytkownik podłączy zainfekowany napęd USB do komputera z systemem Windows. Napęd zawiera złośliwe pliki .lnk, które podszywają się pod legalne dokumenty lub foldery. Gdy użytkownik wejdzie w interakcję z tymi plikami, proces infekcji rozpoczyna się bez tradycyjnego monitu o instalację.

Mechanizm cichej replikacji i początkowej infekcji

Rozprzestrzenianie się Crypto Clipper jest powrotem do ery wczesnych robaków internetowych. Opiera się na fizycznym przemieszczaniu sprzętu między systemami. Gdy złośliwe oprogramowanie znajdzie nowego hosta, skanuje go w poszukiwaniu wszelkich podłączonych urządzeń pamięci masowej USB. Tworzy na tych napędach serię plików .lnk. Te pliki skrótów przechowują kod wykonywalny, który wskazuje na ładunek złośliwego oprogramowania. Aby zwiększyć szanse na udane kliknięcie, malware używa nazw pasujących do istniejących plików na dysku. Jest to cyfrowy koń trojański, który wykorzystuje nieodłączne zaufanie, jakim użytkownicy obdarzają własny sprzęt.

Z perspektywy ryzyka, robak ten jest skuteczny, ponieważ całkowicie omija obwód sieciowy. Większość nowoczesnych stosów bezpieczeństwa koncentruje się na przychodzącym ruchu internetowym i załącznikach e-mail. Złośliwy skrypt, który dociera przez lokalny interfejs sprzętowy, często unika początkowych warstw inspekcji. Po uruchomieniu pliku .lnk następuje wykonanie polecenia PowerShell. Polecenie to sprawdza, czy maszyna jest już zainfekowana. Jeśli system jest czysty, skrypt łączy się z zewnętrznym serwerem, aby pobrać podstawowe komponenty clippera.

Dlaczego tradycyjne zapory sieciowe nie wykrywają ruchu kierowanego przez Tor

Najbardziej charakterystyczną cechą Crypto Clipper jest wykorzystanie sieci Tor do sterowania i kontroli (C2). Większość rodzin złośliwego oprogramowania używa zakodowanych na sztywno adresów IP lub nazw domen, które analitycy bezpieczeństwa mogą łatwo zablokować. To złośliwe oprogramowanie przyjmuje bardziej odporne podejście. Wdraża przenośnego klienta Tor na zainfekowanym hoście. Następnie kieruje całą komunikację wychodzącą przez lokalny serwer proxy SOCKS5, zazwyczaj na porcie 9050. Tworzy to anonimowy tunel między zainfekowanym urządzeniem a atakującym.

Taka konfiguracja stanowi bezpośrednie wyzwanie dla standardowych praktyk logowania. W typowym środowisku korporacyjnym zapora sieciowa rejestruje docelowy adres IP każdego pakietu wychodzącego. Gdy urządzenie korzysta z sieci Tor, zapora widzi jedynie połączenie z węzłem wejściowym Tor. Węzły te są często legalnymi serwerami. Rzeczywiste miejsce przeznaczenia skradzionych danych pozostaje ukryte za wieloma warstwami szyfrowania i nadmiarowymi węzłami. Ocena powierzchni ataku w tym kontekście jest trudna, ponieważ złośliwy ruch miesza się z powszechną, zaszyfrowaną aktywnością internetową. Malware wykorzystuje protokół SOCKS5 do przesyłania danych do miejsca docelowego, zapewniając, że adres serwera atakującego nigdy nie pojawi się w lokalnych logach sieciowych.

Anatomia przejęcia schowka

Główną funkcją złośliwego oprogramowania jest monitorowanie schowka systemu Windows. Szuka ono określonych wzorców pasujących do adresów portfeli kryptowalutowych. Bitcoin, Ethereum i inne główne aktywa używają ustandaryzowanych formatów alfanumerycznych. Crypto Clipper wykorzystuje wyrażenia regularne do identyfikacji tych ciągów w czasie rzeczywistym. Gdy użytkownik kopiuje adres, malware przechwytuje zawartość schowka. Zastępuje adres użytkownika adresem należącym do atakującego.

Jest to prosta, ale niszczycielska forma naruszenia integralności danych. Większość użytkowników weryfikuje adres, sprawdzając pierwsze i ostatnie cztery znaki. Zaawansowane warianty tego złośliwego oprogramowania generują tysiące adresów, aby znaleźć taki, który jak najdokładniej pasuje do zamierzonego celu ofiary. Poza prostą wymianą adresu, malware monitoruje również frazy seed. Są to sekwencje 12 lub 24 słów używane do odzyskiwania portfela kryptowalutowego. Jeśli złośliwe oprogramowanie wykryje frazę seed w schowku, natychmiast eksfiltruje tekst. Daje to atakującemu całkowitą kontrolę nad całym portfelem aktywów cyfrowych ofiary.

Wizualne potwierdzenie poprzez dyskretne przechwytywanie ekranu

Crypto Clipper nie ogranicza się do kradzieży tekstu. Microsoft odkrył, że złośliwe oprogramowanie wykonuje pięć zrzutów ekranu w ciągu 10 sekund za każdym razem, gdy wykryje wrażliwe dane w schowku. Obrazy te zapewniają atakującemu kontekst. Zrzut ekranu może ujawnić konkretne używane oprogramowanie portfela, saldo konta lub dodatkowe pytania bezpieczeństwa na ekranie. Malware używa natywnych poleceń PowerShell do przechwytywania ekranu, co pomaga mu unikać wykrycia przez podstawowe oprogramowanie antywirusowe, które szuka jedynie narzędzi do przechwytywania innych firm.

Przejście od stealera do aktywnego backdoora

Chociaż głównym celem jest kradzież finansowa, Microsoft klasyfikuje to zagrożenie jako lekki backdoor. Obecność proxy Tor i możliwość wykonywania zdalnego kodu oznacza, że atakujący może zrobić więcej niż tylko zamienić adresy portfeli. Może on w dowolnym momencie przesłać nowe skrypty na zainfekowaną maszynę. Pozwala to złośliwemu oprogramowaniu ewoluować w zależności od środowiska, w którym się znajduje. W ustawieniach korporacyjnych atakujący może przejść od kradzieży kryptowalut do pozyskiwania wewnętrznych poświadczeń lub wdrażania ransomware.

Ta możliwość przydzielania zadań w czasie rzeczywistym sprawia, że malware jest trwałym zagrożeniem. Nawet jeśli użytkownik wyczyści schowek lub przeniesie swoje środki, backdoor pozostaje aktywny. Atakujący może czekać miesiącami przed wdrożeniem bardziej inwazyjnego ładunku. Mówiąc proaktywnie, istnienie trwałego, anonimowego połączenia z wewnętrzną stacją roboczą jest najgorszym scenariuszem dla każdego zespołu ds. bezpieczeństwa. Zamienia ono pojedynczy zainfekowany napęd USB w stałą dziurę w kadłubie statku.

Techniczne wskaźniki zainfekowanego systemu

Microsoft Defender for Endpoint posiada specyficzne sygnatury dla tego zagrożenia. Flaguje ono podejrzane procesy JavaScript i próby eksfiltracji danych wykorzystujące narzędzie Curl. Jednak ręczne poszukiwanie zagrożeń (hunting) jest często konieczne w przypadku starszych systemów lub tych bez zaawansowanych narzędzi EDR. Najsilniejszym wskaźnikiem infekcji Crypto Clipper jest obecność usługi proxy nasłuchującej na localhost:9050. Jest to domyślny port dla proxy Tor SOCKS5.

Administratorzy powinni również szukać interpreterów skryptów, takich jak PowerShell lub CMD, tworzących nietypowe procesy potomne. Malware często używa ich do wykonywania procedur przechwytywania ekranu i monitorowania schowka. Wszelkie dowody poleceń przechwytywania ekranu w historii PowerShell powinny być czerwoną flagą. Z perspektywy informatyki śledczej pojawienie się nowych plików .lnk na napędzie USB o nazwach naśladujących istniejące dokumenty jest definitywnym znakiem obecności robaka. Program antywirusowy Microsoft Defender wykrywa główny ładunek jako Trojan:Win32/CryptoBandits.A.

Praktyczne kroki w celu zabezpieczenia interfejsów sprzętowych

Zabezpieczenie sieci przed samopowielającym się robakiem wymaga połączenia kontroli technicznej i edukacji użytkowników. Pomijając aktualizacje, najskuteczniejszą obroną jest rygorystyczna polityka dotycząca nośników wymiennych. Wiele organizacji domyślnie wyłącza porty USB lub używa oprogramowania do dopuszczania tylko określonych, zaszyfrowanych napędów. Jest to cyfrowy odpowiednik selekcjonera w klubie VIP przy każdych drzwiach wewnętrznych. Jeśli urządzenie nie znajduje się na liście, nie wchodzi.

Użytkownicy muszą również przyjąć podejście zero-trust do swoich schowków. Nigdy nie zakładaj, że ciąg znaków, który wklejasz, jest tym samym, który skopiowałeś. Zawsze weryfikuj cały adres portfela, a nie tylko kilka pierwszych znaków, przed potwierdzeniem transakcji. W przypadku transferów o wysokiej wartości konieczna jest weryfikacja poza pasmem (out-of-band). Wiąże się to ze sprawdzeniem adresu na oddzielnym urządzeniu, które nie jest podłączone do tej samej sieci. Ten prosty krok może zapobiec zdecydowanej większości kradzieży opartych na clipperach.

Wreszcie, organizacje powinny audytować swoje systemy pod kątem obecności nieautoryzowanych narzędzi proxy. Tor ma legalne zastosowania, ale jego obecność na standardowej stacji roboczej w biurze jest prawie zawsze oznaką shadow IT lub naruszenia bezpieczeństwa. Monitorowanie ruchu sieciowego do znanych węzłów wejściowych Tor może pomóc zidentyfikować zainfekowane maszyny, zanim atakujący zdoła eksfiltrować znaczące ilości danych. To proaktywne monitorowanie stanowi różnicę między drobnym incydentem a całkowitą utratą aktywów cyfrowych.

Źródła

• Raport Microsoft Threat Intelligence (czerwiec 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i edukacyjnym. Nie zastępuje on profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty. Zawsze konsultuj się z certyfikowanym specjalistą ds. bezpieczeństwa przed wprowadzeniem zmian w strategii bezpieczeństwa przedsiębiorstwa.