Специалисты Microsoft зафиксировали новый тип вредоносного ПО, распространяющегося через USB‑накопители и нацеленного на обнаружение, кражу и передачу злоумышленникам учетных данных криптовалютных кошельков. Вирус получил название Crypto Clipper, потому что следит за буфером обмена на наличие адресов кошельков.

При обнаружении подходящих данных вредонос делает пять скриншотов в течение десяти секунд. Эти снимки и сами учетные данные отправляются на сторонний сервер через сеть Tor, которая обеспечивает анонимную маршрутизацию и скрывает IP‑адреса отправителя и получателя. Crypto Clipper устанавливает соединение Tor с помощью протокола SOCKS5, через который направляет трафик.

Особенность этого вредоноса в том, что он не полагается на традиционный установщик и не завязан на IP‑базу команд и контроля. Вместо этого он разворачивает портативный Tor‑клиент, направляет весь трафик через локальный прокси‑сервер SOCKS5 и объединяет кражу данных с удалённым выполнением кода, превращая инструмент для кражи в легковесный бэкдор — так объясняет это Microsoft.

Crypto Clipper распространяется через файлы .lnk на USB‑накопителях: эти файлы содержат исполняемый код, который активирует вредоносное ПО при подключении USB‑устройства к компьютеру. Если вредонос не обнаружен на устройстве, он загружается через сеть Tor. Чтобы запутать защиту, вредонос сканирует носитель и маскирует свои файлы под имена, внешне похожие на реальные.

Функционально Crypto Clipper отслеживает буфер обмена ради поиска шаблонов, соответствующих(seed‑фразам) из 12 или 24 слов, применяемым для формирования приватных ключей кошельков. При обнаружении таких шаблонов вредонос выгружает их вместе со скриншотами на сервер злоумышленников. Он также способен подменять адреса кошельков, пытаясь перенаправлять транзакции в кошельки, контролируемые злоумышленниками.