Το κακόβουλο λογισμικό CryptoBandits επιτρέπει στους εγκληματίες να χρησιμοποιούν τη μονάδα USB σας για πρόσβαση σε πορτοφόλια κρυπτονομισμάτων – Προειδοποίηση από τη Microsoft

Η πιο πρόσφατη έρευνα της Microsoft για κακόβουλο λογισμικό κρυπτονομισμάτων επισημαίνει τα crypto wallets, ένα από τα σημεία όπου μια συναλλαγή μπορεί να αποτύχει, ως βασική πρακτική αδυναμία στην αυτο-φύλαξη.

Ένα παραβιασμένο μηχάνημα Windows μπορεί να αλλάξει τη διεύθυνση που αντιγράφει ένας χρήστης, να εκθέσει μια φράση seed πριν υπογραφεί μια μεταφορά, ή να στείλει στιγμιότυπα οθόνης και πλαίσιο wallet σε έναν εισβολέα.

Σε έκθεση του Security Blog στις 17 Ιουνίου, η Microsoft δήλωσε ότι το κακόβουλο λογισμικό CryptoBandits, που εντοπίζεται ως "CryptoBandits.A", ήταν ενεργό από τον Φεβρουάριο του 2026 και έχει φτάσει σε συστήματα μέσω κακόβουλων αρχείων συντόμευσης Windows σε συσκευές αποθήκευσης USB.

Το κακόβουλο λογισμικό κλέβει επίσης μυστικά wallet, αντικαθιστά αντιγραμμένες διευθύνσεις και επικοινωνεί με την υποδομή command-and-control μέσω Tor. Η Microsoft ανέφερε ότι παρακολουθεί το πρόχειρο (clipboard) περίπου κάθε 500 χιλιοστά του δευτερολέπτου και αναζητά φράσεις seed, ιδιωτικά κλειδιά και διευθύνσεις wallet.

Τα hardware wallets, οι έλεγχοι διευθύνσεων και η πειθαρχία στις φράσεις seed παραμένουν απαραίτητα μέτρα ελέγχου. Όμως, εάν το τελικό σημείο που διαχειρίζεται μια ροή εργασίας wallet παραβιαστεί, ο εισβολέας μπορεί να δει το μυστικό, να αλλάξει τον προορισμό ή να παρατηρήσει την οθόνη πριν ο χρήστης αντιληφθεί κάτι ύποπτο.

Το CryptoSlate έχει καλύψει παρόμοια μοτίβα κλοπής wallet στο παρελθόν, συμπεριλαμβανομένης της αντικατάστασης διευθύνσεων τύπου ClipBanker και κακόβουλου λογισμικού wallet συνδεδεμένου με τη Microsoft. Το νέο στοιχείο στην έκθεση της Microsoft είναι ο συνδυασμός διάδοσης μέσω USB, κλοπής clipboard, ελέγχου μέσω Tor και επιχειρησιακής καθοδήγησης για τον εντοπισμό της συμπεριφοράς.

Πώς το κακόβουλο λογισμικό CryptoBandits μετατρέπει τις συντομεύσεις USB σε εκτέλεση

Η Microsoft ανέφερε ότι η αρχική πρόσβαση γίνεται μέσω κακόβουλων αρχείων .lnk, συμπεριλαμβανομένων συντομεύσεων που διανέμονται σε συσκευές αποθήκευσης USB. Στις περιπτώσεις που ανέλυσε η Microsoft, η συντόμευση εγκαθιστά ένα στοιχείο worm.

Στη συνέχεια, το κακόβουλο λογισμικό σαρώνει τη μονάδα USB για κοινά αρχεία εγγράφων, όπως .doc, .xlsx και .pdf, αποκρύπτει τα πρωτότυπα και δημιουργεί νέα αρχεία συντόμευσης με τα ίδια ονόματα αρχείων.

Το αποτέλεσμα είναι μια γνωστή παγίδα: ο χρήστης νομίζει ότι ανοίγει ένα έγγραφο από αφαιρούμενα μέσα, αλλά στην πραγματικότητα εκκινεί το ωφέλιμο φορτίο του worm. Αυτή η συμπεριφορά αντιστοιχεί στο ευρύτερο μοτίβο ασφάλειας που το MITRE ATT&CK περιγράφει ως αναπαραγωγή μέσω αφαιρούμενων μέσων, αλλά η συνέπεια που αφορά τα κρυπτονομίσματα είναι πιο άμεση.

Ένα μηχάνημα που χρησιμοποιείται για υπογραφή, αντιγραφή ή έλεγχο στοιχείων wallet γίνεται μέρος της επιφάνειας επίθεσης.

Μόλις εκτελεστεί η κακόβουλη συντόμευση, η Microsoft ανέφερε ότι το κακόβουλο λογισμικό αποθέτει συσκοτισμένα ωφέλιμα φορτία JavaScript στον κατάλογο C:\Users\Public\Documents, χρησιμοποιεί προγραμματισμένες εργασίες για επιμονή και διατηρεί μία εργασία επικεντρωμένη στη διάδοση σε νεοεισαχθείσες μονάδες USB. Μια άλλη εργασία εκτελεί τη δραστηριότητα κλοπής.

Η επίθεση συχνά ξεκινά με συνηθισμένο χειρισμό αρχείων. Μια κοινόχρηστη μονάδα USB, ένα αντιγραμμένο αρχείο ή μια παλιά συνήθεια αφαιρούμενων μέσων μπορεί να θέσει ένα τελικό σημείο διαχείρισης wallet σε ανασφαλή κατάσταση πριν ανοιχτεί οποιοδήποτε λογισμικό wallet.

Αυτό μετατρέπει τη συνήθη χρήση αφαιρούμενων μέσων σε κίνδυνο κακόβουλου λογισμικού USB για οποιαδήποτε συσκευή που αργότερα εμπλέκεται σε ροές εργασίας wallet.

Ωστόσο, οι μέθοδοι πρόληψης είναι πρακτικοί. Η επικίνδυνη στιγμή είναι η εκτέλεση της συντόμευσης και η επιμονή που ακολουθεί, πριν ξεκινήσει οποιαδήποτε ενέργεια wallet.

Για ένα άτομο ή μια ομάδα που μεταφέρει κρυπτονομίσματα, η συσκευή που ανοίγει αφαιρούμενα μέσα μπορεί επίσης να είναι αυτή που αργότερα αντιγράφει μια διεύθυνση κατάθεσης, εμφανίζει μια ροή εργασίας ανάκτησης ή προετοιμάζει μια μεταφορά ταμείου.

Για τις λειτουργίες wallet, η πολιτική αφαιρούμενων μέσων γίνεται μέρος των λειτουργιών φύλαξης. Ένας χρήστης ή γραφείο που αντιμετωπίζει έναν σταθμό εργασίας υπογραφής ως υπολογιστή γενικής χρήσης κληρονομεί τους κινδύνους κάθε ροής εγγράφων που σχετίζεται με αυτό το μηχάνημα.

Οι συσκευές που χρησιμοποιούνται για δραστηριότητα wallet χρειάζονται λιγότερους τρόπους εκτέλεσης μη αξιόπιστων συντομεύσεων, σεναρίων και ωφέλιμων φορτίων.

Η επίθεση ξεκινά ως ζήτημα συντόμευσης Windows και στη συνέχεια γίνεται ζήτημα ελέγχου wallet. Μόλις παραβιαστεί το τελικό σημείο, η κανονική ακολουθία του χρήστη για αντιγραφή διευθύνσεων, έλεγχο οθονών και προετοιμασία συναλλαγών δίνει στο κακόβουλο λογισμικό ακριβώς το υλικό που σχεδιάστηκε να παρακολουθεί.

Πώς το κακόβουλο λογισμικό CryptoBandits μετατρέπει το clipboard στη διαδρομή συναλλαγής

Η ανάλυση της Microsoft δείχνει γιατί ένα crypto clipper γίνεται σοβαρό όταν τα κεφάλαια διατηρούνται υπό αυτο-φύλαξη. Αφού εγγραφεί στον διακομιστή command-and-control, το κακόβουλο λογισμικό εισέρχεται σε έναν συνεχή βρόχο που ελέγχει το clipboard περίπου κάθε μισό δευτερόλεπτο.

Αναζητά φράσεις seed BIP39 12 ή 24 λέξεων, κλειδιά Bitcoin WIF, κλειδιά Ethereum και διευθύνσεις κρυπτονομισμάτων.

Εάν βρει μια φράση seed ή ιδιωτικό κλειδί, η Microsoft ανέφερε ότι το κακόβουλο λογισμικό μπορεί να το αποθηκεύσει τοπικά και να το εξαγάγει μέσω Tor. Εάν εντοπίσει μια αντιγραμμένη διεύθυνση κρυπτονομίσματος, μπορεί να αντικαταστήσει αυτή την τιμή με μια διεύθυνση ελεγχόμενη από τον εισβολέα.

Για αρκετές μορφές διευθύνσεων, η Microsoft ανέφερε ότι το κακόβουλο λογισμικό προσπαθεί να κάνει την αντικατάσταση να φαίνεται αρκετά παρόμοια ώστε να ξεφύγει από επιπόλαιους ελέγχους, όπως η αντιστοίχιση των πρώτων χαρακτήρων ορισμένων διευθύνσεων Bitcoin, Tron ή Monero, ή η αλλαγή μόνο του τελευταίου χαρακτήρα σε ορισμένες διευθύνσεις Bitcoin τύπου Bech32.

Η Microsoft αντιμετωπίζει την αντικατάσταση διευθύνσεων clipboard ως πρόβλημα κλοπής wallet εδώ και χρόνια. Σε έκθεση του 2022 για cryware και hot wallets, η εταιρεία περιέγραψε το clipping και switching ως τεχνικές που υποκλέπτουν δεδομένα wallet πριν ολοκληρωθεί μια συναλλαγή.

Η έκθεση CryptoBandits.A δείχνει αυτό το μοτίβο συνδεδεμένο με διάδοση μέσω αφαιρούμενων μέσων και κυκλοφορία εντολών μέσω Tor.

Η επίσημη καθοδήγηση υποστήριξης wallet οξύνει την οπτική γωνία της φύλαξης. Η τεκμηρίωση του MetaMask αντιμετωπίζει τις φράσεις seed και τα ιδιωτικά κλειδιά ως μυστικά ελέγχου wallet και ξεχωριστά ζητά από τους χρήστες να επαληθεύουν τις διευθύνσεις παραλήπτη πριν επιβεβαιώσουν μια αποστολή.

Το CryptoBandits.A στοχεύει και τις δύο πλευρές αυτής της ροής εργασίας: το μυστικό που ελέγχει το wallet και τη διεύθυνση που λαμβάνει τα κεφάλαια.

Τα hardware wallets αφήνουν κίνδυνο τελικού σημείου στη ροή εργασίας

Αυτή είναι μια συγκεκριμένη προειδοποίηση τελικού σημείου σχετικά με τη συσκευή γύρω από το wallet. Η διατήρηση των ιδιωτικών κλειδιών σε απομόνωση παραμένει μία από τις ισχυρότερες άμυνες έναντι πολλών κοινών επιθέσεων wallet.

Μια αδύναμη παραδοχή είναι ότι η προστασία hardware καλύπτει κάθε βήμα σε μια συναλλαγή. Τα hardware wallets μπορούν να προστατεύσουν κλειδιά υπογραφής, αλλά δεν μπορούν να κάνουν αξιόπιστο το clipboard ενός παραβιασμένου υπολογιστή. Εάν ένας χρήστης αντιγράψει μια διεύθυνση κατάθεσης ανταλλακτηρίου, μια διεύθυνση πληρωμής ή μια διεύθυνση μεταφοράς ταμείου σε μολυσμένο μηχάνημα, το κακόβουλο λογισμικό μπορεί να αλλάξει την τιμή πριν ο χρήστης την επικολλήσει.

Εάν ο χρήστης ελέγξει μόνο μερικούς οικείους χαρακτήρες, μια διεύθυνση αντικατάστασης σχεδιασμένη να φαίνεται παρόμοια μπορεί να περάσει έναν βιαστικό έλεγχο.

Οι φράσεις seed δημιουργούν μια πιο σοβαρή λειτουργία αποτυχίας. Μια φράση ανάκτησης που πληκτρολογήθηκε ή αντιγράφηκε μέσω ενός παραβιασμένου μηχανήματος Windows γίνεται κίνδυνος απομακρυσμένης παραβίασης.

Η Microsoft ανέφερε ότι το κακόβουλο λογισμικό μπορεί να αναγνωρίσει φράσεις τύπου BIP39 και να τις εξαγάγει στον διακομιστή command-and-control. Μόλις εκτεθεί αυτό το είδος μυστικού, ο κίνδυνος εκτείνεται πέρα από μια μεμονωμένη απόπειρα μεταφοράς.

Για τα άτομα, η υγιεινή wallet είναι εν μέρει υγιεινή συσκευής. Για κεφάλαια που διαχειρίζονται ομάδες, οι διαδικασίες φύλαξης πρέπει να αντιμετωπίζουν τη συμπεριφορά τελικού σημείου ως μέρος της διαδικασίας έγκρισης συναλλαγών.

Ένα μηχάνημα που χρησιμοποιείται για επιθεώρηση υπολοίπων, προετοιμασία μεταφορών, γεφύρωση περιουσιακών στοιχείων ή μεταφορά κεφαλαίων από ανταλλακτήριο θα πρέπει να έχει διαφορετικό προφίλ κινδύνου από έναν σταθμό εργασίας που ανοίγει επίσης άγνωστα αφαιρούμενα μέσα.

Το χρήσιμο πρότυπο είναι ο διαχωρισμός. Μια συσκευή που χειρίζεται δραστηριότητα wallet θα πρέπει να έχει λιγότερους λόγους για εκτέλεση σεναρίων, άνοιγμα συντομεύσεων από μονάδες USB ή αντιγραφή υλικού ανάκτησης μέσω του clipboard.

Όταν μια ροή εργασίας εξαρτάται από αντιγραφή-επικόλληση, ο προορισμός που εμφανίζεται στη συσκευή υπογραφής ή στην αξιόπιστη οθόνη έχει μεγαλύτερη βαρύτητα από τη διεύθυνση που εμφανίζεται σε ένα πρόγραμμα περιήγησης ή παράθυρο συνομιλίας.

Εάν υπάρχει υποψία ότι ένας σταθμός εργασίας έχει εκτεθεί, η αντίδραση αλλάζει επίσης. Η έκθεση μπορεί να περιλαμβάνει περισσότερα από μια κακή διεύθυνση σε μια μεμονωμένη εκκρεμή συναλλαγή.

Μπορεί να περιλαμβάνει υλικό ανάκτησης, ιδιωτικά κλειδιά, στιγμιότυπα οθόνης και εκτέλεση εντολών στο ίδιο μηχάνημα. Αυτό ωθεί την αποκατάσταση προς απομόνωση του τελικού σημείου, εναλλαγή εκτεθειμένου υλικού wallet και επανεξέταση οποιασδήποτε μεταφοράς προετοιμάστηκε σε αυτή τη συσκευή.

Η ανίχνευση εξαρτάται από συμπεριφορικά σήματα

Η καθοδήγηση μετριασμού της Microsoft εστιάζει στη συμπεριφορά. Η εταιρεία συνιστά την απενεργοποίηση AutoRun και AutoPlay για αφαιρούμενα μέσα, τον αποκλεισμό εκτέλεσης .lnk από αφαιρούμενες μονάδες μέσω Group Policy όπου είναι δυνατό, τον περιορισμό της περιττής χρήσης κεντρικών υπολογιστών σεναρίων όπως wscript.exe και cscript.exe, και την επανεξέταση κανόνων Attack Surface Reduction για συσκοτισμένα σενάρια και ύποπτες αλυσίδες διεργασιών-παιδιών.

Για τις ομάδες ασφάλειας, τα ισχυρότερα σήματα είναι συμπεριφορικά. Η Microsoft ανέφερε ότι οι υπερασπιστές θα πρέπει να διερευνούν περιπτώσεις όπου μηχανές σεναρίων εκκινούν εργαλεία όπως curl, cmd.exe, PowerShell ή απροσδόκητα εκτελέσιμα αρχεία.

Επίσης επισήμανε τοπική δραστηριότητα διακομιστή μεσολάβησης SOCKS5 στο localhost:9050, συμπεριφορά σχετική με το clipboard και δραστηριότητα λήψης στιγμιότυπων οθόνης PowerShell σε συσκευές που χειρίζονται ευαίσθητες χρηματοοικονομικές ροές εργασίας.

Αυτά τα σήματα ευθυγραμμίζονται με αρκετές τυπικές τεχνικές ATT&CK, συμπεριλαμβανομένης της συλλογής δεδομένων clipboard, command-and-control μέσω διακομιστή μεσολάβησης και επιμονής μέσω προγραμματισμένης εργασίας.

Το Microsoft Defender παραθέτει επίσης δυνατότητα ανίχνευσης για το CryptoBandits, συμπεριλαμβανομένων των Trojan:Win32/CryptoBandits.A και σχετικών ανιχνεύσεων JavaScript, μαζί με κάλυψη EDR για ύποπτες διεργασίες JavaScript, εξαγωγή μέσω curl και δραστηριότητα Task Scheduler.

Η έκθεση της Microsoft δεν αποκαλύπτει αριθμούς θυμάτων, επιβεβαιωμένα σύνολα κλοπής, γεωγραφική κατανομή και απόδοση σε κατονομαζόμενο παράγοντα. Αυτό περιορίζει οποιονδήποτε ισχυρισμό σχετικά με την κλίμακα της χρηματοοικονομικής ζημίας.

Το μάθημα φύλαξης βασίζεται στην παρατηρούμενη συμπεριφορά: μια ροή εργασίας wallet μπορεί να παραβιαστεί πριν μια συναλλαγή φτάσει στο blockchain.

Το άμεσο συμπέρασμα είναι ότι οι χρήστες και οι φορείς κρυπτονομισμάτων θα πρέπει να αντιμετωπίζουν τα τελικά σημεία ως μέρος της στοίβας wallet. Οι έλεγχοι USB, οι περιορισμοί σεναρίων, η επαλήθευση διευθύνσεων και η πειθαρχία clipboard αποτελούν μέρος της ασφάλειας αυτο-φύλαξης.

Αυτή είναι η διαδρομή που ακολουθεί μια συναλλαγή πριν φτάσει στο blockchain.

Το άρθρο CryptoBandits malware lets criminals use your USB drive to access crypto wallets – Microsoft warns εμφανίστηκε πρώτα στο CryptoSlate.