Как выброшенный USB-накопитель превратился в незаметного похитителя криптовалюты

Старший разработчик в бутиковой финтех-компании заметил аномалию в транзакциях своего аппаратного кошелька в прошлый вторник. Он пытался отправить 0,5 биткоина на адрес холодного хранения, который использовал десятки раз. Он скопировал адрес из своего менеджера паролей и вставил его в поле перевода. Транзакция прошла. Однако средства так и не поступили в пункт назначения. В течение нескольких минут баланс в его исходном кошельке обнулился. Криминалистическое исследование рабочей станции показало, что вставленный адрес не был тем, который он скопировал. Это была почти идентичная строка, контролируемая злоумышленником. Точкой входа для этого взлома стал рекламный USB-накопитель, который он нашел в подарочном наборе на конференции три месяца назад.

Исследователи Microsoft недавно идентифицировали эту конкретную угрозу как новый самораспространяющийся червь. Они называют его Crypto Clipper. Это вредоносное ПО отличается от раздутых и сложных пакетов программ-вымогателей, которые доминируют в текущих заголовках новостей. Это легкий бэкдор на основе скриптов, в котором приоритет отдается скрытности и немедленной монетизации. Цепочка атаки начинается, когда пользователь подключает зараженный USB-накопитель к компьютеру под управлением Windows. Накопитель содержит вредоносные файлы .lnk, которые маскируются под легитимные документы или папки. Когда пользователь взаимодействует с этими файлами, процесс заражения начинается без традиционного запроса на установку.

Механизм скрытой репликации и первичного заражения

Распространение Crypto Clipper — это возврат к эпохе ранних интернет-червей. Оно полагается на физическое перемещение оборудования между системами. Когда вредоносная программа находит новый хост, она сканирует все подключенные USB-накопители. Она создает серию файлов .lnk на этих дисках. Эти файлы ярлыков хранят исполняемый код, который указывает на полезную нагрузку вредоносного ПО. Чтобы увеличить шансы на успешный клик, вредонос использует имена, соответствующие существующим файлам на диске. Это цифровой троянский конь, который эксплуатирует врожденное доверие пользователей к собственному оборудованию.

С точки зрения рисков этот червь эффективен, так как он полностью обходит сетевой периметр. Большинство современных стеков безопасности сосредоточены на входящем веб-трафике и вложениях электронной почты. Вредоносный скрипт, поступающий через локальный аппаратный интерфейс, часто избегает начальных уровней проверки. Как только файл .lnk запускается, он выполняет команду PowerShell. Эта команда проверяет, заражена ли машина. Если система чиста, скрипт обращается к внешнему серверу для загрузки основных компонентов клипера.

Почему традиционные брандмауэры пропускают трафик, маршрутизируемый через Tor

Самой отличительной чертой Crypto Clipper является использование сети Tor для управления и контроля. Большинство семейств вредоносных программ используют жестко закодированные IP-адреса или доменные имена, которые аналитики безопасности могут легко заблокировать. Это вредоносное ПО применяет более устойчивый подход. Оно развертывает портативный клиент Tor на зараженном хосте. Затем оно направляет всю исходящую связь через локальный прокси-сервер SOCKS5, обычно через порт 9050. Это создает анонимный туннель между скомпрометированным устройством и злоумышленником.

Такая настройка является прямым вызовом стандартным практикам ведения логов. В типичной корпоративной среде брандмауэр регистрирует целевой IP-адрес каждого исходящего пакета. Когда устройство использует Tor, брандмауэр видит только соединение с входным узлом Tor. Эти узлы часто являются легитимными серверами. Фактическое место назначения украденных данных остается скрытым за несколькими слоями шифрования и избыточными узлами. Оценка поверхности атаки в этом контексте затруднена, так как вредоносный трафик смешивается с обычной зашифрованной веб-активностью. Вредоносное ПО использует протокол SOCKS5 для пересылки данных в конечный пункт назначения, гарантируя, что адрес сервера злоумышленника никогда не появится в логах локальной сети.

Анатомия перехвата буфера обмена

Основная функция вредоносного ПО — мониторинг буфера обмена Windows. Оно ищет определенные паттерны, соответствующие адресам криптовалютных кошельков. Bitcoin, Ethereum и другие основные активы используют стандартизированные буквенно-цифровые форматы. Crypto Clipper использует регулярные выражения для идентификации этих строк в режиме реального времени. Когда пользователь копирует адрес, вредонос перехватывает содержимое буфера обмена. Оно заменяет адрес пользователя адресом, принадлежащим злоумышленнику.

Это простая, но разрушительная форма компрометации целостности данных. Большинство пользователей проверяют адрес, сверяя первые и последние четыре символа. Сложные варианты этого вредоносного ПО генерируют тысячи адресов, чтобы найти тот, который максимально соответствует намеченной цели жертвы. Помимо простой замены адреса, вредоносное ПО также отслеживает сид-фразы. Это последовательности из 12 или 24 слов, используемые для восстановления криптокошелька. Если вредонос обнаруживает сид-фразу в буфере обмена, он немедленно эксфильтрует текст. Это дает злоумышленнику полный контроль над всем портфелем цифровых активов жертвы.

Визуальное подтверждение через скрытый захват экрана

Crypto Clipper не останавливается на краже текстовых данных. Microsoft обнаружила, что вредоносное ПО делает пять скриншотов в течение 10-секундного периода всякий раз, когда обнаруживает конфиденциальные данные в буфере обмена. Эти изображения предоставляют злоумышленнику контекст. Скриншот может раскрыть конкретное используемое программное обеспечение кошелька, баланс счета или дополнительные секретные вопросы на экране. Вредоносное ПО использует нативные команды PowerShell для захвата экрана, что помогает ему избегать обнаружения базовым антивирусным ПО, которое ищет только сторонние инструменты захвата.

Переход от стиллера к активному бэкдору

Хотя основной целью является финансовая кража, Microsoft классифицирует эту угрозу как легкий бэкдор. Наличие прокси-сервера Tor и возможность удаленного выполнения кода означают, что злоумышленник может делать больше, чем просто подменять адреса кошельков. Они могут отправлять новые скрипты на зараженную машину в любое время. Это позволяет вредоносному ПО развиваться в зависимости от среды, в которой оно находится. В корпоративной среде злоумышленник может переключиться с кражи криптовалюты на сбор внутренних учетных данных или развертывание программ-вымогателей.

Эта возможность постановки задач в реальном времени делает вредоносное ПО постоянной угрозой. Даже если пользователь очистит буфер обмена или переместит свои средства, бэкдор остается активным. Злоумышленник может ждать месяцами, прежде чем развернуть более инвазивную полезную нагрузку. С проактивной точки зрения, наличие постоянного анонимного соединения с внутренней рабочей станцией — это худший сценарий для любой команды безопасности. Это превращает один зараженный USB-накопитель в постоянную пробоину в корпусе корабля.

Технические индикаторы скомпрометированной системы

Microsoft Defender для конечных точек имеет специфические сигнатуры для этой угрозы. Он помечает подозрительные процессы JavaScript и попытки эксфильтрации данных, использующие утилиту Curl. Однако ручной поиск часто необходим для старых систем или систем без продвинутых инструментов EDR. Самым сильным индикатором заражения Crypto Clipper является наличие службы прокси, прослушивающей localhost:9050. Это порт по умолчанию для SOCKS5-прокси Tor.

Администраторам также следует искать интерпретаторы скриптов, такие как PowerShell или CMD, порождающие необычные дочерние процессы. Вредоносное ПО часто использует их для выполнения процедур захвата экрана и мониторинга буфера обмена. Любые свидетельства команд захвата экрана в истории PowerShell должны быть тревожным сигналом. С криминалистической точки зрения появление новых файлов .lnk на USB-накопителе с именами, имитирующими существующие документы, является явным признаком присутствия червя. Microsoft Defender Antivirus обнаруживает основную полезную нагрузку как Trojan:Win32/CryptoBandits.A.

Практические шаги по защите аппаратных интерфейсов

Защита сети от самораспространяющегося червя требует сочетания технических мер контроля и обучения пользователей. Помимо установки исправлений, наиболее эффективной защитой является строгая политика в отношении съемных носителей. Многие организации теперь отключают USB-порты по умолчанию или используют программное обеспечение для разрешения только определенных зашифрованных накопителей. Это цифровой эквивалент вышибалы в VIP-клубе у каждой внутренней двери. Если устройства нет в списке, оно не войдет.

Пользователи также должны принять подход «нулевого доверия» к своему буферу обмена. Никогда не предполагайте, что строка, которую вы вставляете, совпадает со строкой, которую вы скопировали. Всегда проверяйте весь адрес кошелька, а не только первые несколько символов, прежде чем подтверждать транзакцию. Для крупных переводов необходима внеполосная проверка. Это включает проверку адреса на отдельном устройстве, которое не подключено к той же сети. Этот простой шаг может предотвратить подавляющее большинство краж, связанных с клиперами.

Наконец, организациям следует проводить аудит своих систем на наличие несанкционированных инструментов прокси. Tor имеет законные способы применения, но его присутствие на стандартной офисной рабочей станции почти всегда является признаком теневых ИТ или нарушения безопасности. Мониторинг сетевого трафика к известным входным узлам Tor может помочь выявить зараженные машины до того, как злоумышленник сможет эксфильтровать значительные объемы данных. Этот проактивный мониторинг — разница между незначительным инцидентом и полной потерей цифровых активов.

Источники

• Microsoft Threat Intelligence Report (June 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

Отказ от ответственности: Данная статья предназначена исключительно для информационных и образовательных целей. Она не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты. Всегда консультируйтесь с сертифицированным специалистом по безопасности перед внесением изменений в систему безопасности вашего предприятия.